Adobe behebt eine kritische Sicherheitslücke in der Deserialisierung, aber die Exploits bleiben bestehen

CISA hat eine Schwachstelle – katalogisiert als CVE-2023-26359 – zum Katalog bekannter ausgenutzter Schwachstellen mit einem CVSS-Score von 9,8 aufgrund aktiver Ausnutzung hinzugefügt.

Bei der Sicherheitslücke handelt es sich um einen Deserialisierungsfehler, der Adobe ColdFusion 2018 (Update 15 und früher) und Adobe ColdFusion 2021 (Update 5 und früher) betrifft und möglicherweise zur Ausführung willkürlichen Codes führen kann.

Durch die Serialisierung wird ein Objekt in ein Datenformat umgewandelt, das später wiederhergestellt werden kann, beispielsweise mit JSON und XML und ihren serialisierten Daten. Die Deserialisierung ist die Umkehrung dieses Prozesses, bei dem in einem bestimmten Format strukturierte Daten in ein Objekt umgewandelt werden. Wenn die Deserialisierung ohne Validierung einer vertrauenswürdigen Quelle erfolgt, kann dies zu einem Denial-of-Service oder zur Codeausführung führen.

Diese Sicherheitslücken, die als kritisch und wichtig gelten und zu Speicherlecks führen können, wurden im März behoben. Es ist unklar, wie die Schwachstelle ausgenutzt wird, aber Adobe gibt an, dass dies nur „bei sehr begrenzten Angriffen“ vorkommt.

Aufgrund dieser aktiven Ausnutzung haben die Behörden der Federal Civilian Executive Branch (FCEB) bis zum 11. September eine Frist, um diese Patches anzuwenden und sich vor potenziellen Bedrohungen zu schützen.

Adobe empfiehlt Kunden, die Sicherheitskonfigurationseinstellungen „wie auf der ColdFusion-Sicherheitsseite beschrieben“ anzuwenden und die entsprechenden Lockdown-Anleitungen zu lesen. Außerdem wird empfohlen, „Ihr ColdFusion JDK/JRE auf die neueste Version der LTS-Versionen für JDK 11 zu aktualisieren“. Dies liegt daran, dass die Anwendung des ColdFusion-Updates ohne ein entsprechendes JDK-Update keinen sicheren Server ermöglicht.

Adobe dankt Patrick Vares für die Meldung der Probleme im Zusammenhang mit der Sicherheitslücke CVE-2023-26359.