Adobe 보안 게시판

검색

Adobe ColdFusion에 사용할 수 있는 보안 업데이트 | APSB23-25

게시판 ID

게시 날짜

우선 순위

APSB23-25

2023년 3월 14일

1

요약

Adobe는 ColdFusion 버전 2021 및 2018용 보안 업데이트를 발표했습니다. 이 업데이트는 임의 코드 실행 및 메모리 누수로 이어질 수 있는 치명적 및 중요  취약성을 해결합니다.

Adobe는 CVE-2023-26360이 Adobe ColdFusion을 대상으로 하는 매우 제한된 공격에서 악용되었음을 인지하고 있습니다.

해당하는 버전

제품

업데이트 번호

플랫폼

ColdFusion 2018

업데이트 15 및 이전 버전    

모두

ColdFusion 2021

업데이트 5 및 이전 버전

모두

해결 방법

Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품

업데이트된 버전

플랫폼

우선 순위 등급

사용 가능성

ColdFusion 2018

업데이트 16

모두

1

Tech Note

ColdFusion 2021

업데이트 6 

모두

1

Tech Note
참고:

ColdFusion JDK/JRE를 및 JDK 11용 최신 버전의 LTS 릴리스로 업데이트하는 것이 좋습니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다.  자세한 내용은 관련 TechNote를 참조하십시오. 

또한 ColdFusion 보안 페이지에 요약된 내용에 따라 보안 구성 설정을 적용하고 해당 Lockdown 안내서를 검토하는 것이 좋습니다.    

취약성 세부 정보

취약점 카테고리

취약성 영향

심각도

CVSS 기본 점수 

CVSS 벡터

CVE 번호

신뢰할 수 없는 데이터의 비일련화(CWE-502)

임의 코드 실행

치명적

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-26359

잘못된 액세스 제어(CWE-284)

임의 코드 실행

치명적

8.6

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVE-2023-26360

제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22)

메모리 누수

중요

4.9

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26361

감사의 말

Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.

  • Patrick Vares (ELS-PHI) - CVE-2023-26359
  • Charlie Arehart 및 Pete Freitag - CVE-2023-26360
  • Trend Micro의 Dusan Stevanovic - CVE-2023-26361

ColdFusion JDK 요구 사항

COLDFUSION 2021(버전 2021.0.0.323925) 이상

응용 프로그램 서버   

JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"를 설정합니다. 

예:   

Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.  

WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.  

WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.  

독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.    

 

COLDFUSION 2018 HF1 이상  

응용 프로그램 서버   

JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"를 설정합니다. 

예:   

Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.  

WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.  

WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.  

독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.    

 

개정 버전

2023년 3월 14일: CVE-2023-26360에 대해 수정된 취약성 영향

자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오

쉽고 빠르게 지원 받기

신규 사용자이신가요?

빠른 링크

내 플랜 모두 보기 내 플랜 관리
빠른 링크 보기
빠른 링크 숨기기

법적 고지 사항    |    온라인 개인정보 처리방침