Bulletin-ID
Senast uppdaterad den
10 apr. 2023
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB23-25
|
|
Publiceringsdatum |
Prioritet |
|
APSB23-25 |
14 mars 2023 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2021 och 2018. Dessa uppdateringar löser kritiska och viktiga sårbarheter som kan leda till exekvering av godtycklig kod och minnesläckor.
Adobe är medvetet om att CVE-2023-26360 har utnyttjats i mycket begränsade angrepp mot Adobe ColdFusion.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Uppdatering 15 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 5 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Uppdatering 16 |
Alla |
1 |
|
|
ColdFusion 2021 |
Uppdatering 6 |
Alla |
1 |
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen av LTS-versionerna för JDK 11. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.
Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Deserialisering av ej tillförlitliga data (CWE-502) |
Exekvering av godtycklig kod |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
|
Felaktig åtkomstkontroll (CWE-284) |
Exekvering av godtycklig kod |
Kritisk |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
|
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Minnesläcka |
Viktig |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med Adobe i säkerhetsfrågor:
- Patrick Vares (ELS-PHI) – CVE-2023-26359
- Charlie Arehart och Pete Freitag – CVE-2023-26360
- Dusan Stevanovic från Trend Micro – CVE-2023-26361
JDK-krav för ColdFusion
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2018 HF1 och senare
För programservrar
Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Revisioner
Den 14 mars 2023: Sårbarhetseffekt reviderad för CVE-2023-26360
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
