Бюллетень безопасности Adobe

Обновления системы безопасности для Adobe ColdFusion | APSB24-41

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB24-41

11 июня 2024 г. 

3

Сводка

Компания Adobe выпустила обновления безопасности для ColdFusion версий 2023 и 2021. Эти обновления устраняют важные уязвимости, которые могут привести к произвольному чтению файловой системы и обходу функций безопасности.

Затронутые версии

Продукт

Номер обновления

Платформа

ColdFusion 2023

Обновление 7 и более ранние версии
  

Все

ColdFusion 2021

Обновление 13 и более ранние версии

Все

Решение

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт

Обновленная версия

Платформа

Рейтинг приоритета

Доступность

ColdFusion 2023

Обновление 8

Все

3

ColdFusion 2021

Обновление 14

Все

3

Примечание.

Более подробную информацию о защите от небезопасных атак десериализации Wddx см. в обновленной документации по серийному фильтру на странице https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Базовая оценка CVSS 

Номера CVE

Неправильный контроль доступа (CWE-284)

Чтение в произвольной файловой системе

Важная

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2024-34112

Слабое шифрование для паролей (CWE-261)

Обход функции безопасности

Важная

6.2

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2024-34113

Благодарности:

Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:   

  • Brian (reillyb): CVE-2024-34112
  • Ian Hickey (ionatomic): CVE-2024-34113

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Примечание.

В целях безопасности Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска.Страница загрузки ColdFusion регулярно обновляется и включает в себя последние версии инсталляторов Java для JDK, поддерживаемых вашей установкой, в соответствии с приведенными ниже матрицами. 

Инструкции по использованию внешнего JDK см. на сайте Change ColdFusion JVM.

Компания Adobe рекомендует применять параметры конфигурации безопасности, приведенные в документации ColdFusion Security, а также ознакомиться с соответствующими руководствами Lockdown.    

Требования для набора средств ColdFusion JDK

COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений

В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.  

 

COLDFUSION 2021 (версия 2021.0.0.323925) и выше

Для серверов приложений   

В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»

в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:   

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd   

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf   

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.   


Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com 

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?