Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (15.04.20):
Neues Advisory

In Adobe ColdFusion existieren mehrere vom Hersteller als wichtig
eingestufte Schwachstellen, die einem lokalen Angreifer das Ausspähen von
Informationen, eine Privilegieneskalation sowie einen Denial-of-Service
(DoS)-Angriff ermöglichen. In einem Fall erfordert die Ausnutzung der
Schwachstelle übliche Benutzerrechte.

Adobe stellt die ColdFusion Versionen 2016 Update 15 und 2018 Update 9 zur
Behebung der Schwachstellen zur Verfügung. Für eine umfängliche Absicherung
des Servers muss neben dem ColdFusion Update auch eine Aktualisierung des
Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die
letzte verfügbare Version des LTS Releases für 1.8 und JDK 11 erfolgen.

Zusätzlich empfiehlt Adobe erneut die Umsetzung der
Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security
Seite verfügbar sind, sowie eine Überprüfung der in der Sicherheitsmeldung
referenzierten versionsspezifischen Lockdown Guides.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-0755]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html