此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于Adobe ColdFusion 存在反序列化远程代码执行漏洞安全公告
索引:  K08260953/2017-02932 发布机构:  吉林省通信管理局办公室
生成日期:  2017-11-7 11:09:08 文号:  
信息分类:   关键词:  
内容概述:  关于Adobe ColdFusion 存在反序列化远程代码执行漏洞安全公告
关于Adobe ColdFusion 存在反序列化远程代码执行漏洞安全公告
发布时间:2017-11-7 11:09:08  

  安全公告编号:CNTA-2017-0071
  近日,国家信息安全漏洞共享平台(CNVD)收录了Adobe ColdFusion反序列化漏洞(CNVD-2017-30461,对应CVE-2017-11283),攻击者成功利用漏洞可导致敏感信息泄露及远程代码执行。
  一、漏洞情况分析
  ColdFusion,是Adobe旗下的一个动态Web服务器,其CFML(ColdFusionMarkup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。
  ColdFusion存在反序列化漏洞,其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务,且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作,攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行,并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。
  CNVD对漏洞的综合评级均为“高危”。
  二、漏洞影响范围
  ColdFusion 11 Update 12及之前版本
  ColdFusion (2016 release) Update 4及之前版本
  三、漏洞修复建议
  根据官方发布的安全更新,建议升级最新补丁:
  ColdFusion 11 Update13:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html
  ColdFusion (2016 release) Update5:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html
  不能及时升级补丁的,可以采用如下临时解决方案:
  检查1099端口是否开放,如果开放则存在安全隐患,请及时关闭“Remote AdobeLiveCycle DataManagement access”服务。
  附:参考链接:
  
https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html
  
https://nickbloor.co.uk/2017/10/13/adobe-coldfusion-deserialization-rce-cve-2017-11283-cve-2017-11238/
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-30461