總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全公告編號:CNTA-2017-0071
近日,國家信息安全漏洞共享平臺(CNVD)收錄了Adobe?ColdFusion反序列化漏洞(CNVD-2017-30461,對應CVE-2017-11283),攻擊者成功利用漏洞可導致敏感信息泄露及遠程代碼執行。
一、漏洞情況分析
ColdFusion,是Adobe旗下的一個動態Web服務器,其CFML(ColdFusionMarkup Language)是一種程序設計語言,類似現在的JSP里的JSTL(JSP Standard Tag Lib),從1995年開始開發,其設計思想被一些人認為非常先進,被一些語言所借鑒。
ColdFusion存在反序列化漏洞,其在開啟“RemoteAdobe LiveCycle Data Management access”功能的條件下會開啟rmiregistery服務,且會在本地監聽1099端口。由于程序未對不可信的數據做校驗就進行了反序列化的操作,攻擊者可通過RMI協議向Adobe ColdFusion服務端發送精心構造的反序列化代碼來觸發漏洞實現遠程代碼執行,并且在返回數據包中泄漏ColdFusion路徑以及jar包等敏感數據。
CNVD對漏洞的綜合評級均為“高危”。
二、漏洞影響范圍
ColdFusion 11 Update 12及之前版本
ColdFusion (2016 release) Update 4及之前版本
三、漏洞處置建議
根據官方發布的安全更新,建議升級最新補丁:
ColdFusion 11 Update13:
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html
ColdFusion (2016 release) Update5:?
http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html?
不能及時升級補丁的,可以采用如下臨時解決方案:
檢查1099端口是否開放,如果開放則存在安全隱患,請及時關閉“Remote AdobeLiveCycle DataManagement access”服務。
附:參考鏈接:
https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html