For English, see below.
BeschrijvingAdobe ColdFusion bevat kritieke kwetsbaarheden die kunnen leiden tot willekeurige uitvoering van code en omzeiling van beveiligingsfuncties. De kwetsbaarheden omvatten:
Van deze kwetsbaarheden is CVE-2023-38205 actief misbruikt bij beperkte aanvallen gericht op Adobe ColdFusion. Belangrijk is dat het hier andere kwetsbaarheden betreft dan gemeld in ons bulletin van maandag 17 juli; dit betekent ook dat de updates die n.a.v. dit bulletin zijn doorgevoerd, geen bescherming bieden tegen deze nieuwe kwetsbaarheden. Kwetsbare versiesDe volgende versies van Adobe ColdFusion zijn kwetsbaar:
Oplossingen en tijdelijke mitigatiesAdobe heeft beveiligingsupdates uitgebracht om de kwetsbaarheden in ColdFusion te verhelpen. Gebruikers wordt sterk aangeraden hun installaties bij te werken naar de volgende versies:
Naast het installeren van de laatste ColdFusion-update, is het ook van belang om de laatste JDK/JRE-versie op het ColdFusion-systeem te installeren. Adobe waarschuwt dat het alleen installeren van de ColdFusion-update onvoldoende beveiliging biedt. Daarnaast is het van belang om de juiste JVM-flag in te stellen via het startscript van de applicatieserver. Hoe dit moet, is afhankelijk van de gebruikte applicatieserver; raadpleeg hiervoor het Adobe Security Bulletin. Meer informatieVoor aanvullende informatie verwijzen we naar het officiële Adobe-beveiligingsbulletin: https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionAdobe ColdFusion has been identified with critical vulnerabilities that may lead to arbitrary code execution and security feature bypass. The vulnerabilities include:
Among these, CVE-2023-38205 has been actively exploited in the wild in limited attacks targeting Adobe ColdFusion. Note that the vulnerabilities described are different from the vulnerabilities that we reported in our security bulletin of Monday 17 July; as a result, updates that were installed as a follow-up to this bulletin, do not fix the issues that are reported in this latest bulletin. Vulnerable versionsThe following versions of Adobe ColdFusion are affected:
Solutions and workaroundsAdobe has released security updates to address the vulnerabilities in ColdFusion. Users are strongly advised to update their installations to the following fixed versions:
Next to installing the latest ColdFusion update, organisations should also install the latest JDK/JRE version on the ColdFusion-system. Adobe warns that applying the ColdFusion update without a corresponding JDK update will not secure the server. Also make sure that the right JVM flag is set via the startup script of the application server; see the Adobe Security Bulletin(s) on how this should be done for the different application servers supported. More informationWe refer to the official Adobe bulletin for additional information: https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |