Bulletin-ID
Senast uppdaterad den
27 juni 2024
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB24-41
|
|
Publiceringsdatum |
Prioritet |
|
APSB24-41 |
11 juni 2024 |
3 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion, versionerna 2023 och 2021. Uppdateringarna åtgärdar viktiga sårbarheter som kan leda till läsning av godtyckliga filsystem och åsidosättning av säkerhetsfunktion.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2023 |
Uppdatering 7 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 13 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2023 |
Uppdatering 8 |
Alla |
3 |
|
|
ColdFusion 2021 |
Uppdatering 14 |
Alla |
3 |
Obs!
Se den uppdaterade dokumentationen för seriefiltret för mer information om skydd mot osäkra Wddx-deserialiseringsattacker https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Felaktig åtkomstkontroll (CWE-284) |
Godtycklig läsning av filsystem |
Viktigt |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34112 |
|
Svag kryptografi för lösenord (CWE-261) |
Åsidosättning av säkerhetsfunktion |
Viktig |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34113 |
Tack:
Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:
- Brian (reillyb) – CVE-2024-34112
- Ian Hickey (ionatomic) – CVE-2024-34113
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen som en säker praxis. ColdFusions hämtningssida uppdateras regelbundet för att inkludera de senaste Java-installationsprogrammen för den JDK-version som din installation stöder enligt matriserna nedan.
Anvisningar om hur du använder en extern JDK finns i Ändra ColdFusion JVM.
Adobe rekommenderar också att du använder de säkerhetskonfigurationsinställningar som finns i ColdFusion Security-dokumentationen samt att du läser igenom respektive Lockdown-guide.
JDK-krav för ColdFusion
COLDFUSION 2023 (version 2023.0.0.330468) och senare
För programservrar
För JEE-installationer ska du ställa in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
