Bülten No
Son güncelleme:
22 Eki 2022
Adobe ColdFusion için güvenlik güncellemeleri | APSB22-44
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB22-44 |
11 Ekim 2022 |
3 |
Özet
Adobe, ColdFusion 2021, ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler Kritik, Önemli ve Orta Dereceli rasgele kod yürütmeye, rasgele dosya sistemi yazmaya, güvenlik özelliği atlama ve ayrıcalık yükseltmeye yol açabilecek güvenlik açıklarını çözer.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2018 |
14 ve daha önceki sürümleri güncelle |
Tümü |
|
ColdFusion 2021 |
Güncelleme 4 ve önceki sürümler |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2018 |
Güncelleme 15 |
Tümü |
3 |
|
|
ColdFusion 2021 |
Güncelleme 5 |
Tümü |
3 |
Not:
Adobe, JDK 11 için ColdFusion JDK/JRE'yi en son çıkan LTS güncellemelerine yükseltmenizi önerir. ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
|
Yığın Tabanlı Arabellek Aşımı (CWE-121) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
|
Yığın Tabanlı Arabellek Aşımı (CWE-122) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
|
Yığın Tabanlı Arabellek Aşımı (CWE-121) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
|
Yığın Tabanlı Arabellek Aşımı (CWE-122) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Rastgele kod yürütme |
Kritik |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
|
Improper Restriction of XML External Entity Reference ('XXE') (CWE-611) |
Rastgele sistem dosyası okunması |
Önemli |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
|
Sabit Kodlu Kimlik Bilgilerinin Kullanımı (CWE-798) |
Ayrıcalığı yükseltme |
Önemli |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Rastgele kod yürütme |
Önemli |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/G:U/C:H/I:H/A:H |
CVE-2022-38421 |
|
Bilgi Açığa Çıkması (CWE-200) |
Güvenlik özelliği atlatması |
Önemli |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Güvenlik özelliği atlatması |
Orta Dereceli |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Rastgele sistem dosyası yazılması |
Kritik |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
|
Önemli |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
|
Improper Restriction of XML External Entity Reference ('XXE') (CWE-611) |
|
Önemli
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Trend Micro Zero Day Initiative ile çalışan rgod - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE -2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
ColdFusion JDK Gerekliliği
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
COLDFUSION 2018 HF1 ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com
adresine e-posta gönderin
