Uppfært 20. júlí.
Tilkynnt var um nokkra alvarlega veikleika í ColdFusion hjá Adobe. Misnotkun á veikleikunum gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution). CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikar hafa verið lagfærðir og grípa til aðgerða sem lýst er í tilkynningum frá framleiðanda.
Alvarlegir veikleikar (e. critical)
ColdFusion
Veikleikinn CVE-2023-29300 með CVSSv3 einkunn uppá 9.8 gerir ógnaraðila kleift að fjarkeyra kóða með því að endurbyggja hlut (e. object) frá ótraustum gögnum (e. deserialization of untrusted data) [1]. Sjá má nánar um „deserialization“ hjá OWASP [2].
Uppfærslan ein og sér er ekki nægileg og mælum við með að lesa nánar í tilvísun [1] og um næst veikleika hér að neðan.
Veikleikinn CVE-2023-38203 með CVSSv3 einkunn uppá 9.8 gerir ógnaraðila kleift að fjarkeyra kóða með því að endurbyggja hlut frá ótraustum gögnum [3]. Um er að ræða svipaðan veikleika og CVE-2023-29300 og þar með nægir uppfærslan ein og sér ekki og mælum við með að lesa nánar í [3].
Vitað er til að verið sé að misnota CVE-2023-38203 ásamt CVE-2023-29298 sem var reynt að lagfæra í sömu uppfærslu. Hins vegar samkvæmt Rapid7 þá dugði sú uppfærsla ekki til að koma í veg fyrir veikleikann, mikilvægt er samt að uppfæra í þá útgáfu þar sem lagfært er CVE-2023-38203, því þá virkar keðjunin á veikleikunum tveimur, CVE-2023-29298 og CVE-2023-29300 ekki lengur. Lesa má nánar í grein hjá Rapid7 [4].
Uppfærsla á grein:
Ný uppfærsla kom út 19. júlí sem lagfærir veikleikann CVE-2023-38204 með CVSSv3 einkunn uppá 9.8 sem gerir ógnaraðila kleift að fjarkeyra kóða með því að endurbyggja hlut frá ótraustum gögnum [5]. Uppfærslan ein og sér er ekki nægileg og mælum við með að lesa nánar í tilvísun [5].
Einnig var lagfært veikleikann CVE-2023-38205 með CVSSv3 einkunn uppá 7.5 sem gerir ógnaraðila kleift að komast fram hjá öryggiseiginleikum í ColdFusion. Uppfærslan ein og sér er ekki nægileg og mælum við með að lesa nánar í tilvísun [5]. Vitað er til að verið sé að misnota þennan veikleika og er þetta lagfæring á aðferðinn sem var hægt að nýta til að komast fram hjá því sem uppfærslan fyrir CVE-2023-29298 átti að lagfæra [6,7].
Eftirfarandi kerfi eru veik fyrir gallanum:
ColdFusion 2018: Update 18 og fyrri útgáfur (Update 17 lagfærði CVE-2023-29300, Update 18 lagfærði CVE-2023-38203)
ColdFusion 2021: Update 8 og fyrri útgáfur (Update 7 lagfærði CVE-2023-29300, Update 8 lagfærði CVE-2023-38203)
ColdFusion 2023: Update 2 og fyrri útgáfur (Update 1 lagfærði CVE-2023-29300, Update 2 lagfærði CVE-2023-38203)
Veikleikar hafa verið lagfærðir í eftirfarandi útgáfum:
ColdFusion 2018: Update 19
ColdFusion 2021: Update 9
ColdFusion 2023: Update 3
Tilvísanir:
[1] https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
[2] https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
[3] https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html
[4] https://www.rapid7.com/blog/post/2023/07/17/etr-active-exploitation-of-multiple-adobe-coldfusion-vulnerabilities/
[5] https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html
[6] https://www.rapid7.com/blog/post/2023/07/19/cve-2023-38205-adobe-coldfusion-access-control-bypass-fixed/
[7] https://www.bleepingcomputer.com/news/security/adobe-emergency-patch-fixes-new-coldfusion-zero-day-used-in-attacks/