Kurz nach dem letzten außerplanmäßigen Update werden bereits die nächsten Aktualisierungen veröffentlicht. Eine der drei Zero-Day-Lücken wird bereits aktiv für Cyberangriffe ausgenutzt.
Adobe sieht sich erneut gezwungen, Updates für seine Software Adobe ColdFusion bereitzustellen, um drei Sicherheitslücken zu schließen. Eine dieser Lücken wurde bereits bei einigen Cyberangriffen auf Systeme mit Adobe ColdFusion ausgenutzt, wie das Unternehmen mitteilt. Die Updates stehen für die Versionen ColdFusion 2018, 2021 und 2023 zur Verfügung und haben alle die höchste Dringlichkeitsstufe. Adobe empfiehlt IT-Verantwortlichen, diese Updates mit höchster Priorität zu installieren.
Erst vor kurzem hat Adobe einen Patch für ColdFusion außerhalb der regulären Updates veröffentlicht. Dabei ging es um Fehlfunktionen bei der Deserialisierung nicht vertrauenswürdiger Daten (CVE-2023-38203, CVSS 9.8, Risiko „kritisch“). Nun folgen Maßnahmen zur Behebung der Schwachstellen CVE-2023-38204, CVE-2023-38205 und CVE-2023-38206. Die Sicherheitslücke CVE-2023-38204 ermöglicht die Ausführung beliebiger Softwarecodes auf dem Gerät. Diese Schwachstelle wird als „kritisch“ eingestuft und erreicht 9,8 im Common Vulnerability Scoring System (CVSS), dessen Skala bis zehn reicht.
Die beiden anderen Schwachstellen ermöglichen es Cyberkriminellen, Sicherheitsmaßnahmen zu umgehen. Die Sicherheitslücke CVE-2023-38205 wird ebenfalls als „kritisch“ eingestuft und wurde mit einer CVSS-Bewertung von 7,5 eingestuft. Diese Sicherheitslücke ist Adobe bekannt und das Unternehmen bestätigt, dass sie bereits aktiv von Cyberkriminellen ausgenutzt wird. CVE-2023-38206 wird als „moderat“ gefährlich betrachtet und hat einen CVSS-Wert von 5,3.
Da Adobe alle drei Lücken als Priorität 1 einstuft, ist die Wahrscheinlichkeit hoch, dass alle drei Sicherheitslücken bereits ausgenutzt werden oder bald ausgenutzt werden könnten. Das Unternehmen empfiehlt zusätzlich, die Sicherheitsempfehlungen und Lockdown-Anleitungen für die jeweilige ColdFusion-Version zu befolgen. ColdFusion ist ein Java-Applikationsserver, der interaktive Web-Anwendungen ausarbeitet. Es gibt die zwei Varianten Standard und Enterprise.
Die Update-Anleitungen mit weiteren Hinweisen und Links stellt Adobe für jede einzelne Version separat zur Verfügung:
- Tech Note zu Adobe ColdFusion 2018 Update 19
- Tech Note zu Adobe ColdFusion 2021 Update 9
- Tech Note zu Adobe ColdFusion 2023 Update 3