Bülten No
Son güncelleme:
6 Haz 2025
Adobe ColdFusion için güvenlik güncellemeleri | APSB25-52
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB25-52 |
13 Mayıs 2025 |
1 |
Özet
Adobe, ColdFusion sürümleri 2025, 2023 ve 2021 için güvenlik güncellemeleri yayımladı. Bu güncellemeler, kritik ve önemli güvenlik açıklarını gidermektedir; bu açıktan başarıyla yararlanılması rastgele dosya sistemi okuma, rastgele kod yürütülmesi ve ayrıcalık yükseltmeye yol açabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2025 |
Güncelleme 1 |
Tümü |
|
ColdFusion 2023 |
Güncelleme 13 ve önceki sürümler |
Tümü |
|
ColdFusion 2021 |
19 ve daha önceki sürümleri güncelle |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2025 |
Güncelleme 2 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 14 |
Tümü |
1 |
|
|
ColdFusion 2021 |
Güncelleme 20 |
Tümü |
1 |
Not:
Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz.Kullanımı hakkında daha fazla bilgi için lütfen bkz. https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Güvenli olmayan Wddx seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele sistem dosyası okunması |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-43559 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43560 |
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele sistem dosyası okunması |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43561 |
|
Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43562 |
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43563 |
|
Yanlış Yetkilendirme(CWE-863) |
Rastgele kod yürütme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43564 |
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele kod yürütme |
Kritik |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-43565 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) |
Rastgele sistem dosyası okunması |
Önemli |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-43566 |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
- Brian Reilly (reillyb) - CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not:
Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir.ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir.
Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın.
Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
