Adoben tietoturvatiedote

Adobe ColdFusionin tietoturvapäivitykset | APSB25-52

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB25-52

13. toukokuuta 2025

1

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2025, 2023 ja 2021. Päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia, jotka voivat johtaa mielivaltaiseen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja mielivaltaiseen tiedostojärjestelmän lukuun.

 Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.

Versiot

Tuote

Päivityksen numero

Ympäristö

ColdFusion 2025

Päivitys 1

Kaikki

ColdFusion 2023

Päivitys 13 ja aiemmat versiot
  

Kaikki

ColdFusion 2021

Päivitys 19 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Saatavuus

ColdFusion 2025

Päivitys 2

Kaikki

1

ColdFusion 2023

Päivitys 14

Kaikki

1

ColdFusion 2021

Päivitys 20

Kaikki

1

Huomautus:

Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa  osoitteessa https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia Wddx-deserialisointihyökkäyksiä vastaan https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet 

CVE-numerot

Virheellinen syötteen tarkistus (CWE-20)

Mielivaltainen tiedostojärjestelmän luku

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-43559

Virheellinen syötteen tarkistus (CWE-20)

Mielivaltaisen koodin suoritus

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43560

Sopimaton käyttöoikeuksien valvonta (CWE-284)

Mielivaltainen tiedostojärjestelmän luku

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43561

Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78)

Mielivaltaisen koodin suoritus

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43562

Sopimaton käyttöoikeuksien valvonta (CWE-284)

Käyttöoikeuksien laajennus

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43563

Virheellinen valtuutus (CWE-863)

Mielivaltaisen koodin suoritus

Kriittinen

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43564

Sopimaton käyttöoikeuksien valvonta (CWE-284)

Mielivaltaisen koodin suoritus

Kriittinen

8.4

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

CVE-2025-43565

Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22)

Mielivaltainen tiedostojärjestelmän luku

Tärkeä

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-43566

Kiitokset:

Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:   

  • nbxiglk – CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
  • Brian Reilly (reillyb) – CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565

HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.

Huomautus:

Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon.ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti. 

Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto

Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.    

ColdFusion JDK -vaatimus

COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten

EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.

 

COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten

EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;;” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.

 

COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat

Sovelluspalvelimia varten   

JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;

vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:   

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa   

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa   

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa   

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.   


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com 

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?