Идентификатор бюллетеня
Обновления системы безопасности для Adobe ColdFusion | APSB23-47
|
Дата публикации |
Приоритет |
APSB23-47 |
19 июля 2023 г. |
1 |
Сводка
Компания Adobe выпустила обновления безопасности для ColdFusion версий 2023, 2021 и 2018. В этих обновлениях устранены критические и средние уязвимости, которые могли привести к выполнению произвольного кода и обходу функций безопасности.
Adobe известно, что уязвимость CVE-2023-38205 активно использовалась в ограниченных атаках, нацеленных на продавцов Adobe ColdFusion.
Затронутые версии
Продукт |
Номер обновления |
Платформа |
ColdFusion 2023 |
Обновление 2 и более ранние версии |
Все |
ColdFusion 2021 |
Обновление 8 и более ранние версии |
Все |
ColdFusion 2018 |
Обновление 18 и более ранних версий |
Все |
Решение
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
---|---|---|---|---|
ColdFusion 2023 |
Обновление 3 |
Все |
1 |
|
ColdFusion 2021 |
Обновление 9 |
Все |
1 |
|
ColdFusion 2018 |
Обновление 19 |
Все |
1 |
Если в будущем вам станет известно о существовании пакета с уязвимостью десериализации, используйте файл serialfilter.txt в каталоге <cfhome>/lib для исключения пакета из списка (например, !org.jgroups.**;)
Сведения об уязвимости
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Номера CVE |
|
Десериализация ненадежных данных (CWE-502) |
Выполнение произвольного кода |
Критическая |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38204 |
Неправильный контроль доступа (CWE-284) |
Обход функции безопасности |
Критическая |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38205 |
Неправильный контроль доступа (CWE-284) |
Обход функции безопасности |
Средняя |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38206 |
Благодарности:
Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:
- Рахул Майни, Харш Джайсвал @ ProjectDiscovery Research — CVE-2023-38204
- MoonBack (ipplus360) — CVE-2023-38204
- Стивен Фьюэр — CVE-2023-38205
- Брайан Рейлли — CVE-2023-38206
ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.
Благодарности
Компания Adobe выражает благодарность следующим пользователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- Юн Хуэй Хань (Yonghui Han), Fortinet's FortiGuard Labs — CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.
Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Чтобы узнать поддерживаемую версию JDK, см. матрицу поддержки ColdFusion ниже.
Матрица поддержки ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер. См. соответствующие технические примечания для получения более подробной информации.
Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.
Требования для набора средств ColdFusion JDK
COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2021 (версия 2021.0.0.323925) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»
в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2018 HF1 и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»
в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com