SOS :: Security Operation Space
19 сентября, среда, 00:00
|
Hot News:

Adobe закрыла шесть критических брешей в ColdFusion

12 сентября 2018 г., среда, 14:56

В рамках сентябрьского «вторника патчей» вендор устранил 9 уязвимостей в ColdFusion и одну во Flash Player.

Компания Adobe выпустила патчи для платформы веб-разработки ColdFusion. В числе прочих закрыты критические уязвимости, грозящие выполнением произвольного кода.

Совокупно разработчик устранил девять брешей в продукте. Согласно бюллетеню, новые проблемы затрагивают выпуск от 12 июля 2018 года, релиз 2016 (все сборки до Update 6 включительно), а также ColdFusion 11 (Update 14 и ниже).

Шесть багов оценены как критические; четыре из них (CVE-2018-15965, CVE-2018-15957, CVE-2018-15958, CVE-2018-15959) относятся к категории «Десериализация недоверенных данных». Уязвимость CVE-2018-15961 связана с отсутствием ограничений на загрузку файлов, еще одна критическая брешь (CVE-2018-15960) открывает возможность для перезаписи произвольного файла.

Существенными признаны обход защиты (CVE-2018-15963), позволяющий создавать любые папки, и возможность просмотра содержимого директорий (CVE-2018-15962), грозящая раскрытием важной информации. Еще один баг раскрытия информации — CVE-2018-15964 — оценен как умеренно опасный.

Данных об использовании какой-либо бреши в реальных атаках у Adobe нет. Пользователям рекомендуется установить обновления ColdFusion 2018 Update 1, ColdFusion 2016 Update 7 и ColdFusion 11 Update 15. Разработчик также советует использовать безопасную конфигурацию (настройки указаны на странице ColdFusion Security) и ознакомиться с соответствующим руководством по блокировке (Lockdown Guide).

Кроме ColdFusion, плановый патч получил Adobe Flash Player, работающий на платформах Windows, macOS, Linux и Chrome OS. В этом продукте устранен опасный баг повышения привилегий CVE-2018-15967, влекущий раскрытие информации. Уязвимости подвержены десктопные и браузерные Flash 30.0.0.154 и ниже. Активных эксплойтов также не обнаружено, заплатка включена в состав обновления 31.0.0.208.

По объему сентябрьский набор обновлений от Adobe сравним с предыдущим: в августе компания совокупно закрыла 11 уязвимостей, в том числе две критических бреши в Acrobat и Reader, эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. В прошлом месяце вендор также выпустил два внеочередных обновления. Одно из них устраняет два критических бага удаленного исполнения кода в Photoshop CC, другое — уязвимость в приложении Creative Cloud, на тот момент уже преданную огласке вместе с PoC-кодом.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:45
10:24
09:34
08:41
08:04
07:15
06:30
06:27
06:18
05:47
16:29
14:55
14:07
12:43
12:42
11:32
10:06
08:51


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.107
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.