Идентификатор бюллетеня
Последнее обновление
9 янв. 2025 г.
Обновления системы безопасности для Adobe ColdFusion | APSB24-14
|
|
Дата публикации |
Приоритет |
|
APSB24-14 |
12 марта 2024 г. |
1 |
Сводка
Компания Adobe выпустила обновления безопасности для ColdFusion версий 2023 и 2021. Эти обновления устраняют критические уязвимости, которые могут привести к произвольному чтению файловой системы и повышению уровня полномочий.
Adobe известно, что у уязвимости CVE-2024-20767 есть известное подтверждение концепции, которое может привести к произвольному чтению файловой системы.
Затронутые версии
|
Продукт |
Номер обновления |
Платформа |
|
ColdFusion 2023 |
Обновление 6 и более ранние версии |
Все |
|
ColdFusion 2021 |
Обновление 12 и более ранние версии |
Все |
Решение
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
|
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
|---|---|---|---|---|
|
ColdFusion 2023 |
Обновление 12 |
Все |
1 |
|
|
ColdFusion 2021 |
Обновление 18 |
Все |
1 |
Примечание.
Более подробную информацию о защите от небезопасных атак десериализации Wddx см. в обновленной документации по серийному фильтру на странице https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-serialfilter-file.html
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Номера CVE |
Заметки |
|
|
Неправильный контроль доступа (CWE-284) |
Чтение в произвольной файловой системе |
Критическая |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Эта уязвимость была дополнительно устранена в ColdFusion 2023 Update 12 и ColdFusion 2021 Update 18. См. APSB24-107 для получения дополнительной информации. |
|
Неправильная аутентификация (CWE-287) |
Повышение уровня полномочий |
Критическая |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Эта проблема была решена в ColdFusion 2023 Update 7 и более поздних версиях, а также в ColdFusion 2021 Update 13 и более поздних версиях. |
Благодарности:
Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:
- ma4ter: CVE-2024-20767
- Brian Reilly (reillyb): CVE-2024-45113
ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe
Примечание.
Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Чтобы узнать поддерживаемую версию JDK, см. матрицу поддержки ColdFusion ниже.
Матрица поддержки ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер. См. соответствующие технические примечания для получения более подробной информации.
Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.
Требования для набора средств ColdFusion JDK
COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2021 (версия 2021.0.0.323925) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»
в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
Редакции
23 декабря 2024 г. - внесены изменения: обновлено краткое содержание, решения (с ColdFusion 2023 Update 7 до Update 12, с ColdFusion 2021 Update 13 до Update 18), повышен приоритет с 3 до 1, в таблицу уязвимостей добавлен столбец "Примечания".
10 сентября 2024 г.: добавлены сведения о CVE-2024-45113
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com
