Adobe Güvenlik Bülteni

Adobe ColdFusion için güvenlik güncellemeleri | APSB23-47

Bülten No

Yayınlandığı Tarih

Öncelik

APSB23-47

19 Temmuz 2023

1

Özet

Adobe, ColdFusion 2023, 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele kod yürütülmesine ve güvenlik özelliği sızıntısına yol açabilecek kritik  ve önemli güvenlik açıklarını giderir.

Adobe, CVE-2023-38205'ın Adobe ColdFusion’ı hedef alan sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.

Etkilenen Sürümler

Ürün

Güncelleme numarası

Platform

ColdFusion 2023

Güncelleme 2 ve önceki sürümler    

Tümü

ColdFusion 2021

8 ve daha önceki sürümleri güncelle

Tümü

ColdFusion 2018

18 ve daha önceki sürümleri güncelle

Tümü

Çözüm

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:

Ürün

Güncel sürüm

Platform

Öncelik derecelendirmesi

Bulunma Durumu

ColdFusion 2023

Güncelleme 3

Tümü

1

ColdFusion 2021

Güncelleme 9

Tümü

1

ColdFusion 2018

Güncelleme 19

Tümü

                 1

Not:

Gelecekte seri durumundan çıkarma açığı olan herhangi bir paketten haberdar olursanız, paketi engellenenler listesine almak için (örn: !org.jgroups <cfhome>/lib içindeki serialfilter.txt dosyasını kullanın.**;)

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

CVSS baz skoru 

CVE Numaraları

Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502)

Rastgele kod yürütme

Kritik

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-38204

Uygunsuz Erişim Kontrolü (CWE-284)

Güvenlik özelliği atlatması

Kritik

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-38205

Uygunsuz Erişim Kontrolü (CWE-284)

Güvenlik özelliği atlatması

Orta Dereceli

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2023-38206

Teşekkür:

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:   

  • Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38204
  • MoonBack (ipplus360) - CVE-2023-38204
  • Stephen Fewer - CVE-2023-38205
  • Brian Reilly - CVE-2023-38206

NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.

Teşekkür

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacıya teşekkür eder:

  • Fortinet'in FortiGuard Laboratuvarlarından Yonghui Han - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319

NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.

Not:

Adobe, ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. Desteklenen JDK sürümünüz için aşağıdaki ColdFusion destek matrisini kontrol edin.

ColdFusion Destek Matrisi:

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf

ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ.  Daha fazla ayrıntı için ilgili Teknik Notlara bakın.

Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.    

ColdFusion JDK Gerekliliği

COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için

JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.

Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.

 

COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri

Uygulama Sunucuları İçin   

JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   

 

COLDFUSION 2018 HF1 ve üzeri  

Uygulama Sunucuları İçin   

JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin 

 Adobe

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?