Adobe hat wichtige Updates für die Webentwicklungs-Umgebung ColdFusion in den Versionen 2016, 2018 und 2021 auf allen verfügbaren Plattformen veröffentlicht. Sie beseitigen eine als kritisch eingestufte Sicherheitslücke, mit deren Hilfe Angreifer beliebigen Programmcode zur Ausführung bringen könnten. Exploit-Code beziehungsweise Angriffe in freier Wildbahn hat das Unternehmen bislang nicht beobachtet. Da sich dies jedoch wie immer jederzeit ändern könnte, sollten die Aktualisierungen zeitnah installiert werden.
Den von Adobe bereitgestellten Informationen zu CVE-2021-21087 ist zu entnehmen, dass die Lücke auf fehlerhaften Überprüfungsmechanismen von Eingaben basiert. Betroffen sind die ColdFusion-Versionen 2016 (bis einschließlich Update 16), 2018 (bis einschließlich Update 10) sowie 2021 (Version 2021.0.0.323925).
Updates und weitere Informationen
Das Update 17 für ColdFusion 2016, das Update 11 für 2018 sowie das Update 1 für 2021 schließen das potenzielle Einfallstor – laut Adobe allerdings nur dann, wenn zusätzlich auch das ColdFusion JDK/JRE auf den neuesten Stand gebracht wird. Darüber hinaus rät das Unternehmen dazu, bestimmte Sicherheits-Konfigurationseinstellungen vorzunehmen.
Sämtliche Update-Informationen nebst "Tech Notes", Hinweise zur JDK/JRE-Aktualisierung sowie zu empfehlenswerten Sicherheitseinstellungen sind in Adobes aktuellem Advisory zu ColdFusion (APSB21-16) zusammengefasst.
Quelle: Adobe ColdFusion: Wichtiges Security-Update unterbindet unbefugte Codeausführung | heise online