Pembaruan darurat baru untuk Adobe Coldfusion

Sekali lagi, Adobe harus mendistribusikan pembaruan untuk Adobe Coldfusion. Mereka harus menutup tiga lubang keamanan. Perusahaan mengatakan bahwa salah satu serangan tersebut telah dieksploitasi dalam beberapa serangan pada sistem yang menjalankan Adobe Coldfusion. Pembaruan tersedia untuk Coldfusion 2018, 2021, dan 2023 dan semuanya datang dengan tingkat prioritas tertinggi. Dengan prioritas ini, Adobe menyarankan manajer TI untuk menginstal pembaruan sesegera mungkin.

iklan

Beberapa hari yang lalu, Adobe merilis tambalan untuk Coldfusion di luar jadwal pembaruan biasanya. Ini termasuk kesalahan dalam deserialisasi data yang tidak tepercaya (CVE-2023-38203, CVSS 9.8, risiko “Kritis”). Sekarang ikuti perbaikan bug CVE-2023-38204, CVE-2023-3820r, dan CVE-2023-38206. CVE-2023-38204 memungkinkan kode program arbitrer untuk berjalan di perangkat. Kesenjangan ini dianggap “kritis” dan memiliki skor CVSS 9,8. Skala naik menjadi sepuluh.

Dua bug lainnya memungkinkan penyerang menghindari langkah-langkah keamanan. CVE-2023-38205 juga “Kritis”, dengan CVSS 7.5 – kerentanan ini adalah salah satu yang diketahui dan dilaporkan oleh Adobe sebagai telah dieksploitasi. CVE-2023-38206 dianggap berbahaya “sedang” dan memiliki skor CVSS 5,3.

Jika Anda menambal dengan cepat, tambal dua kali

Namun, karena Adobe telah memberikan ketiga kerentanan tersebut peringkat 1 tingkat, ada kemungkinan besar bahwa ketiga kerentanan ini telah dieksploitasi atau akan segera dieksploitasi secara liar. Perusahaan juga merekomendasikan agar Anda mengikuti rekomendasi keamanan dan panduan mematikan untuk setiap rilis Coldfusion. Coldfusion adalah server aplikasi Java yang membuat aplikasi web interaktif. Ada varian standar dan praktis.

Adobe memberikan instruksi pembaruan dengan tautan dan informasi tambahan secara terpisah untuk setiap versi individual:

iklan

(S)