Бюллетень безопасности Adobe

Поиск

Последнее обновление 28 мар. 2023 г.

Обновления системы безопасности для Adobe ColdFusion | APSB23-25

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB23-25	14 марта 2023 г.	1

Сводка

Компания Adobe выпустила обновления системы безопасности для ColdFusion версий 2021 и 2018. В этих обновлениях устранены критические и важные  уязвимости, которые могли привести к выполнению произвольного кода и утечке памяти.

Adobe известно, что уязвимость CVE-2023-26360 активно использовалась в очень ограниченных атаках, нацеленных на продавцов Adobe ColdFusion.

Затронутые версии

Продукт	Номер обновления	Платформа
ColdFusion 2018	Обновление 15 и более ранних версий	Все
ColdFusion 2021	Обновление 5 и более ранних версий	Все

Решение

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Доступность
ColdFusion 2018	Обновление 16	Все	1	Техническое примечание
ColdFusion 2021	Обновление 6	Все	1	Техническое примечание

Примечание.

Компания Adobe рекомендует обновить ColdFusion JDK/JRE до последней версии выпусков LTS для JDK 11. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер. См. соответствующие технические примечания для получения более подробной информации.

Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.   

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Базовая оценка CVSS	Вектор CVSS	Номера CVE
Десериализация ненадежных данных (CWE-502)	Выполнение произвольного кода	Критическая	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2023-26359
Неправильный контроль доступа (CWE-284)	Выполнение произвольного кода	Критическая	8.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N	CVE-2023-26360
Выход за пределы назначенного каталога ("обход каталога") (CWE-22)	Утечка памяти	Важная	4.9	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	CVE-2023-26361

Благодарности

Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

Патрик Варес (ELS-PHI) - CVE-2023-26359
Чарли Арехарт и Пит Фрейтаг - CVE-2023-26360
Душан Стеванович, участник программы Trend Micro - CVE-2023-26361

Требования для набора средств ColdFusion JDK

COLDFUSION 2021 (Версия 2021.0.0.323925) и выше

Для серверов приложений  

В настройках JEE установите следующий флаг JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:  

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd  

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf  

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.  

COLDFUSION 2018 HF1 и выше  

Для серверов приложений  

Например:  

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd  

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf  

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.  

Редакции

14 марта 2023 года: Пересмотрено влияние уязвимости CVE-2023-26360

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com

Adobe

Получайте помощь быстрее и проще

Новый пользователь?