Bülten No
Adobe ColdFusion için güvenlik güncellemeleri | APSB23-25
|
Yayınlandığı Tarih |
Öncelik |
APSB23-25 |
14 Mart 2023 |
1 |
Özet
Adobe, ColdFusion 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele kod yürütülmesine ve bellek sızıntısına yol açabilecek kritik ve önemli güvenlik açıklarını giderir.
Adobe, CVE-2023-26360'ın Adobe ColdFusion satıcılarını hedef alan çok sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.
Etkilenen Sürümler
Ürün |
Güncelleme numarası |
Platform |
ColdFusion 2018 |
15 ve daha önceki sürümleri güncelleme |
Tümü |
ColdFusion 2021 |
5 ve daha önceki sürümleri güncelle |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
---|---|---|---|---|
ColdFusion 2018 |
Güncelleme 16 |
Tümü |
1 |
|
ColdFusion 2021 |
Güncelleme 6 |
Tümü |
1 |
Adobe, JDK 11 için ColdFusion JDK/JRE'yi en son çıkan LTS güncellemelerine yükseltmenizi önerir. ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
Güvenlik Açığı Detayları
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele kod yürütme |
Kritik |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Bellek sızıntısı |
Önemli |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Patrick Vares (ELS-PHI) - CVE-2023-26359
- Charlie Arehart ve Pete Freitag - CVE-2023-26360
- Trend Micro'dan Dusan Stevanovic - CVE-2023-26361
ColdFusion JDK Gerekliliği
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
COLDFUSION 2018 HF1 ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Değişiklikler
14 Mart 2023: Güvenlik Açığı Etkisi, CVE-2023-26360 için revize edildi
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin