Notfallpatch: Adobe sichert ColdFusion außer der Reihe ab
Aktuelle Versionen schließen unter anderem zwei kritische Sicherheitslücken in der Middleware ColdFusion. Remote Code Execution ist möglich.
Angreifer könnten Adobes ColdFusion attackieren und im schlimmsten Fall Schadcode ausführen. Insgesamt ist die Middleware über drei Sicherheitslücken attackierbar. Davon sind zwei mit dem Bedrohungsgrad "kritisch" eingestuft. Ein weiterer Sicherheitspatch gilt als "wichtig".
Kritisch und wichtig
Setzen Angreifer an der kritischen Schwachstelle mit der Kennung CVE-2019-8073 an, könnte sie unter Umständen Schadcode auf verwundbaren Computern ausführen (Command Injection via Vulnerable component). Über das Ausnutzen einer weiteren Lücke (CVE-2019-8074) soll das Umgehen von Zugangskontrollen möglich sein (Path Traversal Vulnerability).
Wie Angriffsszenarien im Detail aussehen, führt Adobe in einer Warnmeldung derzeit nicht aus. Aufgrund des Schweregrads ist aber davon auszugehen, dass Attacken direkt über das Internet und ohne Authentifizierung möglich sind.
Setzen Angreifer an der dritten Schwachstelle (CVE-2019-8072) an, könnten sie auf Informationen zugreifen (Security bypass). Das Sicherheitsupdate hat Adobe als wichtig eingestuft.
Jetzt patchen!
Wie die Middleware nutzt, sollte sie zügig aktualisieren. Abgesichert sind die Ausgaben ColdFusion 2016 Update 12 und ColdFusion 2018 Update 5. Alle vorigen Versionen sollen bedroht sein. Davon sind Adobe zufolge alle Betriebssysteme betroffen.
In Beiträgen zu ColdFusion 2016 Update 12 und ColdFusion 2018 Update 5 kann man nachlesen, was sich neben den Sicherheitsupdates noch verändert hat. Dort gibt es unter anderem Infos zu bereinigten Bugs und neuen Funktionen.
Bei der Aktualisierung ist zu beachten, dass mindestens das Java Development Kit JDK 8u121 installiert sein muss. (des)
