Adobe ColdFusion: une faille critique d’exécution de code a été patchée

0

Adobe a déployé des mises à jour de sécurité pour patcher une vulnérabilité critique qui a un impact sur les versions 2016, 2018 et 2021 de ColdFusion.

Ces mises à jour corrigent une faille de sécurité d’exécution de code arbitraire causée par une vulnérabilité logicielle de validation d’entrée incorrecte.

Adobe a déployé ColdFusion 2016 Update 17, ColdFusion 2018 Update 11, et ColdFusion 2021 Update 1 pour corriger la vulnérabilité et a déclaré que toutes les versions précédentes avant ces correctifs sont vulnérables aux attaques.

Les mises à jour vers le dernier JDK sont aussi requises pour sécuriser les serveurs

Dans le bulletin de sécurité publié récemment, Adobe a identifié la vulnérabilité comme CVE-2021-21087 avec une « cote de priorité 2 », attribuée à des failles sans exploits connus affectant les produits qui ont toujours été à risque élevé.

Adobe recommande aux administrateurs d’installer les mises à jour de sécurité dès que possible et d’appliquer les paramètres de configuration de sécurité décrits dans les guides de verrouillage ColdFusion 2021, ColdFusion 2018 et ColdFusion 2016.

« Adobe recommande de mettre à jour votre ColdFusion JDK/JRE vers la dernière version 1.8 pour LTS et 11 pour JDK », a également déclaré la société.

« L’application de la mise à jour ColdFusion sans une mise à jour JDK correspondante ne sécurisera pas le serveur. »

Plus de détails sur la façon d’appliquer ces mises à jour sont disponibles dans les notes technologiques pertinentes liées dans le tableau intégré ci-dessous.

ProduitVersions vulnérablesVersion mise à jourPlateformeDisponibilité
ColdFusion 2016Update 16 et version antérieureUpdate 17TouteTech note
ColdFusion 2018Update 10 et versions antérieures    Update 11TouteTech note
ColdFusion 2021Version 2021.0.0.323925Update 1TouteTech note

La National Security Agency (NSA) des États-Unis a classé CVE-2018-4939 (un bug d’Adobe ColdFusion 14) comme l’une des 25 principales vulnérabilités utilisées par les pirates informatiques Chinois sponsorisés par leur État ou financièrement motivés pour exploiter des serveurs publics.

Par exemple, en Novembre 2018, des pirates informatiques soutenus par la Chine ont pris le contrôle de serveurs ColdFusion en déployant des portes dérobées China Chopper après avoir exploité un bug identifié sous le nom de CVE-2018-15961 qui avait été corrigé deux mois auparavant.

adobe coldfusion

Le groupe Chinois de cybercriminalité Rocke a également été observé plus tôt cette année-là alors qu’il déposait des logiciels malveillants de crypto-minage en exploitant les serveurs Adobe ColdFusion non patchés contre des bogues similaires.

Une autre vulnérabilité de ColdFusion, CVE-2018-15961, a été incluse par la NSA dans la liste des bogues les plus exploités pour le déploiement de web shell sur des serveurs vulnérables.

Jetez un coup d’œil à nos bons plans.

Laisser un commentaire