Bulletin-ID
Senast uppdaterad den
22 okt. 2022
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB22-44
|
|
Publiceringsdatum |
Prioritet |
|
APSB22-44 |
11 oktober 2022 |
3 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2021 och 2018. Uppdateringarna åtgärdar kritiska, viktiga och måttliga sårbarheter som kan leda till godtycklig exekvering av kod, godtycklig skrivning till filsystem, kringgående av säkerhetsfunktioner och eskalering av behörigheter.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Uppdatering 14 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 4 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Uppdatering 15 |
Alla |
3 |
|
|
ColdFusion 2021 |
Uppdatering 5 |
Alla |
3 |
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen av LTS-versionerna för JDK 11. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.
Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Stackbaserat buffertspill (CWE-121) |
Exekvering av godtycklig kod |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
|
Stackbaserat buffertspill (CWE-122) |
Exekvering av godtycklig kod |
Allvarlig |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
|
Stackbaserat buffertspill (CWE-121) |
Exekvering av godtycklig kod |
Allvarlig |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
|
Stackbaserat buffertspill (CWE-122) |
Exekvering av godtycklig kod |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
|
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Exekvering av godtycklig kod |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Godtycklig läsning av filsystem |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
|
Användning av hårdkodade autentiseringsuppgifter (CWE-798) |
Eskalering av behörighet |
Viktig |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
|
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Exekvering av godtycklig kod |
Viktigt |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
|
Informationsexponering (CWE-200) |
Åsidosättning av säkerhetsfunktion |
Viktig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
|
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Åsidosättning av säkerhetsfunktion |
Måttlig |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
|
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Godtycklig skrivning till filsystem |
Allvarlig |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
|
Viktigt |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
|
Viktigt
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med Adobe i säkerhetsfrågor:
- rgod i samarbete med Trend Micro Zero Day Initiative – CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb – CVE-2022-42340, CVE-2022-42341
JDK-krav för ColdFusion
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat Application Server: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic Application Server: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP Application Server: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2018 HF1 och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat Application Server: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic Application Server: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP Application Server: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
