Бюллетень безопасности Adobe

Обновления системы безопасности для Adobe ColdFusion | APSB23-52

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB23-52

14 ноября 2023 г.

3

Сводка

Компания Adobe выпустила обновления безопасности для ColdFusion версий 2023 и 2021. В этих обновлениях устранены критическиеважные и средние  уязвимости, которые могли привести к выполнению произвольного кода и обходу функций безопасности.

Затронутые версии

Продукт

Номер обновления

Платформа

ColdFusion 2023

Обновление 5 и более ранних версий
  

Все

ColdFusion 2021

Обновление 11 и более ранних версий

Все

Решение

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт

Обновленная версия

Платформа

Рейтинг приоритета

Доступность

ColdFusion 2023

Обновление 6

Все

3

ColdFusion 2021

Обновление 12

Все

3

Примечание.

Более подробную информацию о защите от небезопасных атак десериализации Wddx см. здесь:  https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Базовая оценка CVSS 

Номера CVE

Десериализация ненадежных данных (CWE-502)

Выполнение произвольного кода

Критическая

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2023-44350

Неправильный контроль доступа (CWE-284)

Обход функции безопасности

Критическая

7.5

 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26347

Десериализация ненадежных данных (CWE-502)

Выполнение произвольного кода

Критическая

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-44351

Межсайтовый скриптинг (отраженный) (CWE-79)

Выполнение произвольного кода

Важная

6.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVE-2023-44352

Десериализация ненадежных данных (CWE-502)

Выполнение произвольного кода

Важная

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2023-44353

Неправильная проверка ввода (CWE-20)

Выполнение произвольного кода

Средняя

4.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVE-2023-44355

Благодарности:

Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:   

  • Брайан Рейли — CVE-2023-44350, CVE-2023-44355
  • Дэниел Дженсен — CVE-2023-44351
  • pwnii (pwnwithlove) — CVE-2023-44352
  • Макколей Хадсон — CVE-2023-44353
  • Мэтью Галлиган и Джон Кейган, CISA — CVE-2023-26347

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Примечание.

Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Чтобы узнать поддерживаемую версию JDK, см. матрицу поддержки ColdFusion ниже.

Матрица поддержки ColdFusion:

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер.  См. соответствующие технические примечания для получения более подробной информации.

Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.    

Требования для набора средств ColdFusion JDK

COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений

В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.  

 

COLDFUSION 2021 (версия 2021.0.0.323925) и выше

Для серверов приложений   

В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»

в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:   

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd   

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf   

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.   


Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com 

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?