Bülten No
Adobe ColdFusion için güvenlik güncellemeleri | APSB23-47
|
Yayınlandığı Tarih |
Öncelik |
APSB23-47 |
19 Temmuz 2023 |
1 |
Özet
Adobe, ColdFusion 2023, 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele kod yürütülmesine ve güvenlik özelliği sızıntısına yol açabilecek kritik ve önemli güvenlik açıklarını giderir.
Adobe, CVE-2023-38205'ın Adobe ColdFusion’ı hedef alan sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.
Etkilenen Sürümler
Ürün |
Güncelleme numarası |
Platform |
ColdFusion 2023 |
Güncelleme 2 ve önceki sürümler |
Tümü |
ColdFusion 2021 |
8 ve daha önceki sürümleri güncelle |
Tümü |
ColdFusion 2018 |
18 ve daha önceki sürümleri güncelle |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
---|---|---|---|---|
ColdFusion 2023 |
Güncelleme 3 |
Tümü |
1 |
|
ColdFusion 2021 |
Güncelleme 9 |
Tümü |
1 |
|
ColdFusion 2018 |
Güncelleme 19 |
Tümü |
1 |
Gelecekte seri durumundan çıkarma açığı olan herhangi bir paketten haberdar olursanız, paketi engellenenler listesine almak için (örn: !org.jgroups <cfhome>/lib içindeki serialfilter.txt dosyasını kullanın.**;)
Güvenlik Açığı Detayları
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38204 |
Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Kritik |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38205 |
Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38206 |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38204
- MoonBack (ipplus360) - CVE-2023-38204
- Stephen Fewer - CVE-2023-38205
- Brian Reilly - CVE-2023-38206
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Teşekkür
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacıya teşekkür eder:
- Fortinet'in FortiGuard Laboratuvarlarından Yonghui Han - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Adobe, ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. Desteklenen JDK sürümünüz için aşağıdaki ColdFusion destek matrisini kontrol edin.
ColdFusion Destek Matrisi:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
COLDFUSION 2018 HF1 ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin