Adobe Güvenlik Bülteni

Adobe ColdFusion için güvenlik güncellemeleri | APSB23-25

Bülten No

Yayınlandığı Tarih

Öncelik

APSB23-25

14 Mart 2023

1

Özet

Adobe, ColdFusion 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele kod yürütülmesine ve bellek sızıntısına yol açabilecek kritik ve önemli  güvenlik açıklarını giderir.

Adobe, CVE-2023-26360'ın Adobe ColdFusion satıcılarını hedef alan çok sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.

Etkilenen Sürümler

Ürün

Güncelleme numarası

Platform

ColdFusion 2018

15 ve daha önceki sürümleri güncelleme    

Tümü

ColdFusion 2021

5 ve daha önceki sürümleri güncelle

Tümü

Çözüm

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:

Ürün

Güncel sürüm

Platform

Öncelik derecelendirmesi

Bulunma Durumu

ColdFusion 2018

Güncelleme 16

Tümü

1

ColdFusion 2021

Güncelleme 6 

Tümü

1

Not:

Adobe, JDK 11 için ColdFusion JDK/JRE'yi en son çıkan LTS güncellemelerine yükseltmenizi önerir. ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın. 

Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.    

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

CVSS baz skoru 

CVE Numaraları

Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502)

Rastgele kod yürütme

Kritik

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-26359

Uygunsuz Erişim Kontrolü (CWE-284)

Rastgele kod yürütme

Kritik

8.6

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVE-2023-26360

Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22)

Bellek sızıntısı

Önemli

4.9

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26361

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:

  • Patrick Vares (ELS-PHI) - CVE-2023-26359
  • Charlie Arehart ve Pete Freitag - CVE-2023-26360
  • Trend Micro'dan Dusan Stevanovic - CVE-2023-26361

ColdFusion JDK Gerekliliği

COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri

Uygulama Sunucuları İçin   

JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında. 

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   

 

COLDFUSION 2018 HF1 ve üzeri  

Uygulama Sunucuları İçin   

JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında. 

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   

 

Değişiklikler

14 Mart 2023: Güvenlik Açığı Etkisi, CVE-2023-26360 için revize edildi


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin 

 Adobe

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?

Adobe MAX 2024

Adobe MAX
Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX

Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX 2024

Adobe MAX
Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX

Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi