Bulletin-ID
Senast uppdaterad den
19 maj 2022
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB22-22
|
|
Publiceringsdatum |
Prioritet |
|
APSB22-22 |
10 maj 2022 |
3 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2021 och 2018. Dessa uppdateringar löser en viktig sårbarhet som leda till exekvering av godtycklig kod.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Uppdatering 13 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Version 3 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Uppdatering 14 |
Alla |
3 |
|
|
ColdFusion 2021 |
Uppdatering 4 |
Alla |
3 |
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen av LTS-versionerna för 1.8 och JDK 11. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.
Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Serveröverskridande skriptning (reflekterad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktig |
5,4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med Adobe i säkerhetsfrågor:
- UB3RSiCK (ub3rsick) – CVE-2022-28818
JDK-krav för ColdFusion
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat Application Server: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic Application Server: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP Application Server: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2018 HF1 och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat Application Server: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic Application Server: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP Application Server: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
