Adobe-säkerhetsbulletin

Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB23-41

Bulletin-ID

Publiceringsdatum

Prioritet

APSB23-41

14 juli 2023

1

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2023, 2021 och 2018. Dessa uppdateringar åtgärdar en kritisk säkerhetslucka som kan leda till exekvering av godtycklig kod.

Adobe är medvetet om att ett blogginlägg med koncepttest har publicerats för CVE-2023-38203.

Berörda versioner

Produkt

Uppdateringsnummer

Plattform

ColdFusion 2018

Uppdatering 17 och tidigare versioner    

Alla

ColdFusion 2021

Uppdatering 7 och tidigare versioner

Alla

ColdFusion 2023

Uppdatering 1 och tidigare versioner

Alla

Lösning

Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Uppdaterad version

Plattform

Prioritetsklassificering

Tillgänglighet

ColdFusion 2018

Uppdatering 18

Alla

1

ColdFusion 2021

Uppdatering 8

Alla

1

ColdFusion 2023

Uppdatering 2

Alla

                 1

Obs!

Om du upptäcker ett paket med en deserialiseringssårbarhet framöver kan du använda filen serialfilter.txt i <cfhome>/lib för att sätta upp paketet på blockeringslistan (t.ex: !org.jroup.**;)

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer

Deserialisering av ej tillförlitliga data (CWE-502)

Exekvering av godtycklig kod

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-38203

Tack:

Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:   

  • Rahul Maini, Harsh Jaiswal på ProjectDiscovery Research – CVE-2023-38203
  • MoonBack (ipplus360) – CVE-2023-38203

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.

Tack

Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:   

  • Yonghui Han från Fortinet’s FortiGuard Labs – CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.

Obs!

Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen. Se ColdFusions supportmatris nedan för att se den stödda JDK-versionen.

ColdFusions supportmatris:

CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering.  Mer information finns i tillämplig teknisk kommentar.

Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide. 

JDK-krav för ColdFusion

COLDFUSION 2023 (version 2023.0.0.330468) och senare
För programservrar

För JEE-installationer ska du ställa in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**i respektive uppstartfil beroende på vilken typ av programserver som används. 

Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.

 

COLDFUSION 2021 (version 2021.0.0.323925) och senare

För programservrar   

Ange följande JVM-flagga på JEE-installationer, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

i respektive uppstartfil beroende på vilken typ av programserver som används. 

Till exempel:   

Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh 

WebLogic programserver:  Redigera JAVA_OPTIONS i filen startWeblogic.cmd 

WildFly/EAP programserver:  Redigera JAVA_OPTS i filen standalone.conf 

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.   

 

COLDFUSION 2018 HF1 och senare  

För programservrar   

Ange följande JVM-flagga på JEE-installationer, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

i respektive uppstartfil beroende på vilken typ av programserver som används. 

Till exempel:   

Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh 

WebLogic programserver:  Redigera JAVA_OPTIONS i filen startWeblogic.cmd 

WildFly/EAP programserver:  Redigera JAVA_OPTS i filen standalone.conf 

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.   

 


Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com 

 Adobe

Få hjälp snabbare och enklare

Ny användare?