Bulletin-ID
Senast uppdaterad den
2 aug. 2023
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB23-40
|
|
Publiceringsdatum |
Prioritet |
|
APSB23-40 |
11 juli 2023 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2023, 2021 och 2018. Dessa uppdateringar löser kritiska och viktiga sårbarheter som kan leda till exekvering av godtycklig kod och kringgående av säkerhetsfunktioner.
Adobe är medvetet om att CVE-2023-29298 har utnyttjats i begränsade angrepp mot Adobe ColdFusion.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Uppdatering 16 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 6 och tidigare versioner |
Alla |
|
ColdFusion 2023 |
GA-utgåva (2023.0.0.330468) |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Uppdatering 17 |
Alla |
1 |
|
|
ColdFusion 2021 |
Uppdatering 7 |
Alla |
1 |
|
|
ColdFusion 2023 |
Uppdatering 1 |
Alla |
1 |
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen. Se ColdFusions supportmatris för att se den stödda JDK-versionen
Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.
Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserialisering av ej tillförlitliga data (CWE-502) |
Exekvering av godtycklig kod |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Felaktig begränsning av alltför många autentiseringsförsök (CWE-307) |
Åsidosättning av säkerhetsfunktion |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med Adobe i säkerhetsfrågor:
- Stephen Fewer – CVE-2023-29298
- Nicolas Zilio (CrowdStrike) – CVE-2023-29300
- Brian Reilly – CVE-2023-29301
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
JDK-krav för ColdFusion
COLDFUSION 2023 (version 2023.0.0.330468) och senare
För programservrar
För JEE-installationer ska du ställa in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2018 HF1 och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Revisioner
19 juli 2023
- Det sammanfattande stycket har uppdaterats med information om att Adobe är medvetet om att CVE-2023-29298 har utnyttjats i begränsade angrepp mot Adobe ColdFusion.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
