Bulletin-ID
Senast uppdaterad den
9 jan. 2025
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB24-14
|
|
Publiceringsdatum |
Prioritet |
|
APSB24-14 |
12 mars 2024 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion, versionerna 2023 och 2021. Uppdateringarna åtgärdar kritiska sårbarheter som kan leda till godtycklig läsning av filsystem och eskalering av behörigheter.
Adobe är medvetna om att CVE-2024-20767 har ett känt koncepttest som kan orsaka en godtycklig filsystemläsning.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2023 |
Uppdatering 6 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 12 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2023 |
Uppdatering 12 |
Alla |
1 |
|
|
ColdFusion 2021 |
Uppdatering 18 |
Alla |
1 |
Obs!
Se den uppdaterade dokumentationen för seriefiltret för mer information om skydd mot osäkra Wddx-deserialiseringsattacker https://helpx.adobe.com/se/coldfusion/kb/coldfusion-serialfilter-file.html
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
Anteckningar |
|
|
Felaktig åtkomstkontroll (CWE-284) |
Godtycklig läsning av filsystem |
Kritisk |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Denna sårbarhet har åtgärdats ytterligare i ColdFusion 2023 uppdatering 12 och ColdFusion 2021 uppdatering 18. Se APSB24-107 för mer information. |
|
Felaktig Authentication (CWE-287) |
Eskalering av behörighet |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Detta åtgärdades i ColdFusion 2023 uppdatering 7 och senare, och ColdFusion 2021 uppdatering 13 och senare. |
Tack:
Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:
- ma4ter – CVE-2024-20767
- Brian Reilly (reillyb) – CVE-2024-45113
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen. Se ColdFusions supportmatris nedan för att se den stödda JDK-versionen.
ColdFusions supportmatris:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.
Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide.
JDK-krav för ColdFusion
COLDFUSION 2023 (version 2023.0.0.330468) och senare
För programservrar
För JEE-installationer ska du ställa in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Revisioner
23 december 2024 – Uppdaterad: Sammanfattning, lösning från ColdFusion 2023 uppdatering 7 till ColdFusion 2023 uppdatering 12, ColdFusion 2021 uppdatering 13 till ColdFusion 2021 uppdatering 18, prioritet från 3 till 1 och lagt till kolumnen Anmärkningar i tabellen Sårbarhetsdetaljer.
10 september 2024: Lade till CVE-2024-45113
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
