Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Multiple vulnerabilities in Adobe ColdFusion

For English, see below.

Beschrijving

Adobe heeft recent updates uitgebracht voor ernstige kwetsbaarheden in Adobe ColdFusion, een platform voor het ontwikkelen en aanbieden van dynamische webapplicaties. Voor één van de kwetsbaarheden (CVE-2023-38203) bracht Adobe op zaterdag 15 juli 2023 een noodpatch uit nadat proof-of-concept code voor de kwetsbaarheid online werd gepubliceerd. Deze noodpatch volgde kort op een reguliere security-update (op 11 juli 2023) waarin ook al een (vergelijkbare) ernstige kwetsbaarheid werd verholpen (CVE-2023-29300) en waar inmiddels ook proof-of-concept code voor publiek is gemaakt. In beide gevallen gaat het om een “deserialisatie”-kwetsbaarheid, waarbij een aanvaller malafide code kan uitvoeren door het proces te misbruiken waarbij ColdFusion een geserialiseerd Java-object omzet in de oorspronkelijke vorm.

Gezien de ernst van de kwetsbaarheden, de beschikbaarheid van proof-of-concept code en het feit dat deze kwetsbaarheden mogelijk zonder gebruikersauthenticatie misbruikt kunnen worden, raadt Pinewood aan zo snel mogelijk de beschikbaar gestelde updates van ColdFusion te installeren. Houd daarbij ook rekening met eventuele kwetsbare ColdFusion-installaties die leveranciers gebruiken voor het ondersteunen van webapplicaties van de organisatie.

Kwetsbare versies

Adobe heeft updates uitgebracht voor ColdFusion 2018, 2021 en 2023. Onderstaande versies van Adobe ColdFusion zijn hierbij kwetsbaar:

  • Adobe ColdFusion 2018 Update 17 (en eerdere versies)
  • Adobe ColdFusion 2021 Update 7 (en eerdere versies)
  • Adobe ColdFusion 2023 Update 1 (en eerdere versies)

Oplossingen

Adobe raadt aan zo snel mogelijk de onderstaande updates van ColdFusion te installeren op kwetsbare servers:

  • Adobe ColdFusion 2018 Update 18
  • Adobe ColdFusion 2021 Update 8
  • Adobe ColdFusion 2023 Update 2

Naast het installeren van de laatste ColdFusion-update, is het ook van belang om de laatste JDK/JRE-versie op het ColdFusion-systeem te installeren. Adobe waarschuwt dat het alleen installeren van de ColdFusion-update onvoldoende beveiliging biedt. Daarnaast is het van belang om de juiste JVM-flag in te stellen via het startscript van de applicatieserver. Hoe dit moet, is afhankelijk van de gebruikte applicatieserver; raadpleeg hiervoor het Adobe Security Bulletin.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Centre (SOC). De servicedesk is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Adobe recently released updates for critical vulnerabilities in Adobe ColdFusion, a platform used for developing and running dynamic web applications. One of these vulnerabilities (CVE-2023-38203) was fixed by an emergency patch on Saturday 15 July 2023 which was released after proof-of-concept code for the vulnerability was published online. This emergency patch quickly followed a regular security update (on 11 July 2023) which resolved a (similar) critical vulnerability and for which proof-of-concept code is also available. In both cases, the vulnerability is caused by a “deserialisation”-issue whereby an attacker can execute arbitrary code by exploiting the process of turning a serialised Java-object into its original form.

Given the criticality of the vulnerabilities, the fact that proof-of-concept code is publicly available and that the vulnerabilities may be exploited without user authentication, Pinewood advises to install the ColdFusion updates as soon as possible. Also consider vendors that might run ColdFusion to support web applications of the organization.

Vulnerable versions

Adobe released security updates for ColdFusion 2018, 2021 and 2023. The following versions of Adobe ColdFusion are vulnerable:

  • Adobe ColdFusion 2018 Update 17 (and earlier versions)
  • Adobe ColdFusion 2021 Update 7 (and earlier versions)
  • Adobe ColdFusion 2023 Update 1 (and earlier versions)

Solutions

Adobe advises to install the following updates for ColdFusion as soon as possible:

  • Adobe ColdFusion 2018 Update 18
  • Adobe ColdFusion 2021 Update 8
  • Adobe ColdFusion 2023 Update 2

Next to installing the latest ColdFusion update, organisations should also install the latest JDK/JRE version on the ColdFusion-system. Adobe warns that applying the ColdFusion update without a corresponding JDK update will not secure the server. Also make sure that the right JVM flag is set via the startup script of the application server; see the Adobe Security Bulletin(s) on how this should be done for the different application servers supported.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Centre (SOC). The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl