Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В рамках сентябрьского «вторника патчей» вендор устранил 9 уязвимостей в ColdFusion и одну во Flash Player.
Компания Adobe выпустила патчи для платформы веб-разработки ColdFusion. В числе прочих закрыты критические уязвимости, грозящие выполнением произвольного кода.
Совокупно разработчик устранил девять брешей в продукте. Согласно бюллетеню, новые проблемы затрагивают выпуск от 12 июля 2018 года, релиз 2016 (все сборки до Update 6 включительно), а также ColdFusion 11 (Update 14 и ниже).
Шесть багов оценены как критические; четыре из них (CVE-2018-15965, CVE-2018-15957, CVE-2018-15958, CVE-2018-15959) относятся к категории «Десериализация недоверенных данных». Уязвимость CVE-2018-15961 связана с отсутствием ограничений на загрузку файлов, еще одна критическая брешь (CVE-2018-15960) открывает возможность для перезаписи произвольного файла.
Существенными признаны обход защиты (CVE-2018-15963), позволяющий создавать любые папки, и возможность просмотра содержимого директорий (CVE-2018-15962), грозящая раскрытием важной информации. Еще один баг раскрытия информации — CVE-2018-15964 — оценен как умеренно опасный.
Данных об использовании какой-либо бреши в реальных атаках у Adobe нет. Пользователям рекомендуется установить обновления ColdFusion 2018 Update 1, ColdFusion 2016 Update 7 и ColdFusion 11 Update 15. Разработчик также советует использовать безопасную конфигурацию (настройки указаны на странице ColdFusion Security) и ознакомиться с соответствующим руководством по блокировке (Lockdown Guide).
Кроме ColdFusion, плановый патч получил Adobe Flash Player, работающий на платформах Windows, macOS, Linux и Chrome OS. В этом продукте устранен опасный баг повышения привилегий CVE-2018-15967, влекущий раскрытие информации. Уязвимости подвержены десктопные и браузерные Flash 30.0.0.154 и ниже. Активных эксплойтов также не обнаружено, заплатка включена в состав обновления 31.0.0.208.
По объему сентябрьский набор обновлений от Adobe сравним с предыдущим: в августе компания совокупно закрыла 11 уязвимостей, в том числе две критических бреши в Acrobat и Reader, эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. В прошлом месяце вендор также выпустил два внеочередных обновления. Одно из них устраняет два критических бага удаленного исполнения кода в Photoshop CC, другое — уязвимость в приложении Creative Cloud, на тот момент уже преданную огласке вместе с PoC-кодом.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |