Идентификатор бюллетеня
Последнее обновление
22 окт. 2022 г.
Обновления системы безопасности для Adobe ColdFusion | APSB22-44
|
|
Дата публикации |
Приоритет |
|
APSB22-44 |
11 октября 2022 г. |
3 |
Сводка
Компания Adobe выпустила обновления системы безопасности для ColdFusion версий 2021 и 2018. Эти обновления позволяют устранить критические, важные и средние уязвимости, которые могут привести к выполнению произвольного кода, записи в произвольную файловую систему, обходу функции безопасности и повышению уровня полномочий.
Затронутые версии
|
Продукт |
Номер обновления |
Платформа |
|
ColdFusion 2018 |
Обновление 14 и более ранних версий |
Все |
|
ColdFusion 2021 |
Обновление 4 и более ранних версий |
Все |
Решение
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
|
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
|---|---|---|---|---|
|
ColdFusion 2018 |
Обновление 15 |
Все |
3 |
|
|
ColdFusion 2021 |
Обновление 5 |
Все |
3 |
Примечание.
Компания Adobe рекомендует обновить ColdFusion JDK/JRE до последней версии выпусков LTS для JDK 11. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер.См. соответствующие технические примечания для получения более подробной информации.
Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Номера CVE |
|
|
Переполнение стекового буфера (CWE-121) |
Выполнение произвольного кода |
Критическая |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
|
Переполнение буфера в динамической памяти (CWE-122) |
Выполнение произвольного кода |
Критическая |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
|
Переполнение стекового буфера (CWE-121) |
Выполнение произвольного кода |
Критическая |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
|
Переполнение буфера в динамической памяти (CWE-122) |
Выполнение произвольного кода |
Критическая |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
|
Выход за пределы назначенного каталога ("обход каталога") (CWE-22) |
Выполнение произвольного кода |
Критическая |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
|
Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611) |
Чтение в произвольной файловой системе |
Важная |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
|
Использование жестко закодированных учетных данных (CWE-798) |
Повышение уровня полномочий |
Важная |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
|
Выход за пределы назначенного каталога ("обход каталога") (CWE-22) |
Выполнение произвольного кода |
Важная |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
|
Раскрытие информации (CWE-200) |
Обход функции безопасности |
Важная |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
|
Выход за пределы назначенного каталога ("обход каталога") (CWE-22) |
Обход функции безопасности |
Средняя |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
|
Выход за пределы назначенного каталога ("обход каталога") (CWE-22) |
Запись в произвольную файловую систему |
Критическая |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
|
Важная |
7,5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
|
Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611) |
|
Важная
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Благодарности
Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- rgod, участник программы Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
Требования для набора средств ColdFusion JDK
COLDFUSION 2021 (Версия 2021.0.0.323925) и выше
Для серверов приложений
В настройках JEE установите следующий флаг JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2018 HF1 и выше
Для серверов приложений
В настройках JEE установите следующий флаг JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com
Adobe MAX
— творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн
Adobe MAX
Творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн