Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Security Updates available for Adobe ColdFusion

For English, see below.

Beschrijving

Adobe ColdFusion bevat kritieke kwetsbaarheden die kunnen leiden tot willekeurige uitvoering van code en omzeiling van beveiligingsfuncties. De kwetsbaarheden omvatten:

  • CVE-2023-38204: Deserialisatie-fout – Een kritieke fout waarmee een aanvaller zonder authenticatie willekeurige code kan uitvoeren.
  • CVE-2023-38205: Onjuist toegangsbeheer – Een andere kritieke kwetsbaarheid waarmee een aanvaller beveiligingsfuncties kan omzeilen.
  • CVE-2023-38206: Onjuist toegangsbeheer – Deze kwetsbaarheid stelt een aanvaller in staat om specifieke beveiligingscontroles te omzeilen.

Van deze kwetsbaarheden is CVE-2023-38205 actief misbruikt bij beperkte aanvallen gericht op Adobe ColdFusion. Belangrijk is dat het hier andere kwetsbaarheden betreft dan gemeld in ons bulletin van maandag 17 juli; dit betekent ook dat de updates die n.a.v. dit bulletin zijn doorgevoerd, geen bescherming bieden tegen deze nieuwe kwetsbaarheden.

Kwetsbare versies

De volgende versies van Adobe ColdFusion zijn kwetsbaar:

  • ColdFusion 2023: Update 2 en eerdere versies
  • ColdFusion 2021: Update 8 en eerdere versies
  • ColdFusion 2018: Update 18 en eerdere versies

Oplossingen en tijdelijke mitigaties

Adobe heeft beveiligingsupdates uitgebracht om de kwetsbaarheden in ColdFusion te verhelpen. Gebruikers wordt sterk aangeraden hun installaties bij te werken naar de volgende versies:

  • ColdFusion 2023: Update 3
  • ColdFusion 2021: Update 9
  • ColdFusion 2018: Update 19

Naast het installeren van de laatste ColdFusion-update, is het ook van belang om de laatste JDK/JRE-versie op het ColdFusion-systeem te installeren. Adobe waarschuwt dat het alleen installeren van de ColdFusion-update onvoldoende beveiliging biedt. Daarnaast is het van belang om de juiste JVM-flag in te stellen via het startscript van de applicatieserver. Hoe dit moet, is afhankelijk van de gebruikte applicatieserver; raadpleeg hiervoor het Adobe Security Bulletin.

Meer informatie

Voor aanvullende informatie verwijzen we naar het officiële Adobe-beveiligingsbulletin:

https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Adobe ColdFusion has been identified with critical vulnerabilities that may lead to arbitrary code execution and security feature bypass. The vulnerabilities include:

  • CVE-2023-38204: Deserialization issue – A critical flaw that allows an attacker to execute arbitrary code.
  • CVE-2023-38205: Improper Access Control – Another critical vulnerability, enabling an attacker to bypass security features.
  • CVE-2023-38206: Improper Access Control – This flaw allows an attacker to bypass specific security controls.

Among these, CVE-2023-38205 has been actively exploited in the wild in limited attacks targeting Adobe ColdFusion. Note that the vulnerabilities described are different from the vulnerabilities that we reported in our security bulletin of Monday 17 July; as a result, updates that were installed as a follow-up to this bulletin, do not fix the issues that are reported in this latest bulletin.

Vulnerable versions

The following versions of Adobe ColdFusion are affected:

  • ColdFusion 2023: Update 2 and earlier
  • ColdFusion 2021: Update 8 and earlier
  • ColdFusion 2018: Update 18 and earlier

Solutions and workarounds

Adobe has released security updates to address the vulnerabilities in ColdFusion. Users are strongly advised to update their installations to the following fixed versions:

  • ColdFusion 2023: Update 3
  • ColdFusion 2021: Update 9
  • ColdFusion 2018: Update 19

Next to installing the latest ColdFusion update, organisations should also install the latest JDK/JRE version on the ColdFusion-system. Adobe warns that applying the ColdFusion update without a corresponding JDK update will not secure the server. Also make sure that the right JVM flag is set via the startup script of the application server; see the Adobe Security Bulletin(s) on how this should be done for the different application servers supported.

More information

We refer to the official Adobe bulletin for additional information:

https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl