SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Adobe закрыла шесть критических брешей в ColdFusion

12 сентября 2018 г., среда, 14:56

В рамках сентябрьского «вторника патчей» вендор устранил 9 уязвимостей в ColdFusion и одну во Flash Player.

Компания Adobe выпустила патчи для платформы веб-разработки ColdFusion. В числе прочих закрыты критические уязвимости, грозящие выполнением произвольного кода.

Совокупно разработчик устранил девять брешей в продукте. Согласно бюллетеню, новые проблемы затрагивают выпуск от 12 июля 2018 года, релиз 2016 (все сборки до Update 6 включительно), а также ColdFusion 11 (Update 14 и ниже).

Шесть багов оценены как критические; четыре из них (CVE-2018-15965, CVE-2018-15957, CVE-2018-15958, CVE-2018-15959) относятся к категории «Десериализация недоверенных данных». Уязвимость CVE-2018-15961 связана с отсутствием ограничений на загрузку файлов, еще одна критическая брешь (CVE-2018-15960) открывает возможность для перезаписи произвольного файла.

Существенными признаны обход защиты (CVE-2018-15963), позволяющий создавать любые папки, и возможность просмотра содержимого директорий (CVE-2018-15962), грозящая раскрытием важной информации. Еще один баг раскрытия информации — CVE-2018-15964 — оценен как умеренно опасный.

Данных об использовании какой-либо бреши в реальных атаках у Adobe нет. Пользователям рекомендуется установить обновления ColdFusion 2018 Update 1, ColdFusion 2016 Update 7 и ColdFusion 11 Update 15. Разработчик также советует использовать безопасную конфигурацию (настройки указаны на странице ColdFusion Security) и ознакомиться с соответствующим руководством по блокировке (Lockdown Guide).

Кроме ColdFusion, плановый патч получил Adobe Flash Player, работающий на платформах Windows, macOS, Linux и Chrome OS. В этом продукте устранен опасный баг повышения привилегий CVE-2018-15967, влекущий раскрытие информации. Уязвимости подвержены десктопные и браузерные Flash 30.0.0.154 и ниже. Активных эксплойтов также не обнаружено, заплатка включена в состав обновления 31.0.0.208.

По объему сентябрьский набор обновлений от Adobe сравним с предыдущим: в августе компания совокупно закрыла 11 уязвимостей, в том числе две критических бреши в Acrobat и Reader, эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. В прошлом месяце вендор также выпустил два внеочередных обновления. Одно из них устраняет два критических бага удаленного исполнения кода в Photoshop CC, другое — уязвимость в приложении Creative Cloud, на тот момент уже преданную огласке вместе с PoC-кодом.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.081
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.