Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (13.03.24):
Neues Advisory

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um
Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Die Schwachstelle wird vom Hersteller als kritisch bewertet.

Adobe veröffentlicht die ColdFusion Versionen 2021 Update 13 und 2023 Update
7 als Sicherheitsupdates, um die aufgeführte Schwachstelle zu beheben.
Zusätzlich weist Adobe wie üblich darauf hin, dass für eine umfängliche
Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung
des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die
letzte verfügbare Version des LTS Releases für JDK 17 erfolgen muss.

Zusätzlich empfiehlt der Hersteller, ebenfalls wie üblich, auch die
Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion
Security Seite verfügbar sind, sowie eine Überprüfung der in der
Sicherheitsmeldung referenzierten versionsspezifischen Lockdown Guides.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0668]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html