安全動態(tài)

Adobe發(fā)布帶外更新以修補(bǔ)ColdFusion零日

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-03-03    瀏覽次數(shù):
 

信息來源:風(fēng)尚網(wǎng)

Adobe今天發(fā)布了針對其ColdFusion開發(fā)平臺的緊急帶外更新,該平臺修補(bǔ)了在野外被利用的零日漏洞。

在剛剛發(fā)出的安全公告中,Adobe將此漏洞描述為“文件上傳限制繞過”,并將其評級為“嚴(yán)重”。

“這種攻擊需要能夠?qū)⒖蓤?zhí)行代碼上傳到Web可訪問目錄,然后通過HTTP請求執(zhí)行該代碼。限制對存儲上載文件的目錄的請求將減輕這種攻擊,”Adobe說。

跟蹤為CVE-2019-7816的零日影響了目前仍在維護(hù)的ColdFusion平臺的三個(gè)版本 - ColdFusion 11,2016和2018。

Adobe發(fā)布了ColdFusion 11 Update 18,ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本來修補(bǔ)該漏洞。該公司表示,所有以前的版本都容易受到這種攻擊。

該軟件制造商本月通常的補(bǔ)丁日將在3月12日,與微軟補(bǔ)丁周二同一天。

Adobe將五位研究人員歸功于尋找零日--Charlie Arehart,Moshe Ruzin,Josh Ford,Jason Solarek和Bridge Catalog Team。所有這些都是ColdFusion開發(fā)人員和支持專家,而不是安全研究人員,他們通常會發(fā)現(xiàn)并報(bào)告積極的零日攻擊。

早在11月,一個(gè)中國民族國家網(wǎng)絡(luò)間諜組利用類似的ColdFusion文件上傳漏洞來接管所有者未應(yīng)用Adobe的2018年9月安全更新的易受攻擊的服務(wù)器。

Adobe沒有透露今天的零日是如何在野外被利用的。

 
 

上一篇:Gartner:2019年十大安全項(xiàng)目(簡評版)

下一篇:2019年03月03日 聚銘安全速遞