Bülten No
Son güncelleme:
9 Oca 2025
Adobe ColdFusion için güvenlik güncellemeleri | APSB24-14
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB24-14 |
12 Mart 2024 |
1 |
Özet
Adobe, ColdFusion 2023 ve 2021 sürümleri için güvenlik güncellemeleri yayımladı. Bu güncellemeler, rastgele dosya sistemi okunmasına ve ayrıcalık yükselmesine yol açabilecek kritik güvenlik açıklarını gidermektedir.
Adobe, CVE-2024-20767'nin rastgele sistem dosyası okunmasına neden olabilecek bilinen bir kavram kanıtına sahip olduğunun farkındadır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2023 |
Güncelleme 6 ve önceki sürümler |
Tümü |
|
ColdFusion 2021 |
Güncelleme 12 ve daha önceki sürümler |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2023 |
Güncelleme 12 |
Tümü |
1 |
|
|
ColdFusion 2021 |
Güncelleme 18 |
Tümü |
1 |
Not:
Güvenli olmayan Wddx seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
Notlar |
|
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele sistem dosyası okunması |
Kritik |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Bu güvenlik açığı ColdFusion 2023 Güncelleme 12 ve ColdFusion 2021 Güncelleme 18'de daha fazla ele alınmıştır. Daha fazla bilgi için APSB24-107 bölümüne bakın. |
|
Uygunsuz Authentication (CWE-287) |
Ayrıcalığı yükseltme |
Kritik |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Bu durum ColdFusion 2023 Güncelleme 7 ve sonrasında ve ColdFusion 2021 Güncelleme 13 ve sonrasında ele alınmıştır. |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not:
Adobe, ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. Desteklenen JDK sürümünüz için aşağıdaki ColdFusion destek matrisini kontrol edin.
ColdFusion Destek Matrisi:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Değişiklikler
23 Aralık 2024 - Güncellendi: Özet, Çözüm ColdFusion 2023 Güncelleme 7'den ColdFusion 2023 Güncelleme 12'ye, ColdFusion 2021 Güncelleme 13'ten ColdFusion 2021 Güncelleme 18'e, Öncelik 3'ten 1'e ve Güvenlik Açığı Ayrıntıları tablosuna Notlar sütunu eklendi.
10 Eylül 2024: CVE-2024-45113 eklendi
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
