Neue Notfall-Updates für Adobe Coldfusion
Wenige Tage nach dem jüngsten außertourlichen Update kommen schon die nächsten. Eine von drei Zero-Day-Lücken wird bereits aktiv für Angriffe genutzt.
(Bild: JLStock/Shutterstock.com)
Erneut muss Adobe Updates für seine Software Adobe Coldfusion verteilen. Sie sollen drei Sicherheitslücken schließen. Eine davon wurde bereits bei einigen Angriffen auf Systeme mit Adobe Coldfusion ausgenutzt, teilt das Unternehmen mit. Die Updates stehen für Coldfusion 2018, 2021 sowie 2023 bereit und kommen allesamt mit der höchsten Dringlichkeitsstufe. IT-Verantwortlichen rät Adobe bei dieser Priorisierung, die Updates so schnell wie möglich zu installieren.
Erst vor einigen Tagen hat Adobe einen Patch für Coldfusion außerhalb des üblichen Update-Fahrplans aufgelegt. Dabei ging es um um Fehler bei der Deserialisierung nicht vertrauenswürdiger Daten (CVE-2023-38203, CVSS 9.8, Risiko "kritisch"). Nun folgen Abhilfemaßnahmen für die Bugs CVE-2023-38204, CVE-2023-3820 und CVE-2023-38206. CVE-2023-38204 erlaubt die Ausführung beliebigen Softwarecodes auf dem Gerät. Diese Lücke gilt als "kritisch" und schafft 9,8 im Common Vulnerability Scoring System (CVSS) auf. Die Skala reicht bis zehn.
Die beiden weiteren Bugs erlauben Angreifern, Sicherheitsmaßnahmen zu umgehen. CVE-2023-38205 ist ebenfalls "kritisch", abweichend von der CVSS 7.5-Einstufung als hochriskant – diese Lücke ist jene, von der Adobe weiß und mitteilt, dass sie bereits aktiv ausgenutzt wird. CVE-2023-38206 gilt als "moderat" gefährlich und hat einen CVSS-Wert von 5,3.
Wer schnell patcht, patcht doppelt
Doch da Adobe alle drei Lücken mit Priorität 1 einstuft, ist die Wahrscheinlichkeit hoch, dass alle drei bereits oder bald in freier Wildbahn ausgenutzt werden. Das Unternehmen empfiehlt außerdem, die Sicherheitsempfehlungen und Lockdown-Anleitungen für die jeweilige Coldfusion-Version zu beachten. Coldfusion ist ein Java-Applikationsserver, der interaktive Web-Anwendungen erstellt. Es gibt die Varianten Standard und Enterprise.
Die Update-Anleitungen mit Links und weiteren Hinweisen liefert Adobe für jede einzelne Version separat:
- Tech Note zum Adobe Coldfusion 2018 Update 19
- Tech Note zum Adobe Coldfusion 2021 Update 9
- Tech Note zum Adobe Coldfusion 2023 Update 3
(ds)
