Adobe ColdFusion修补XSS、Java反序列化漏洞

4月25日，Adobe为其ColdFusion快速应用程式开发平台发布了重要安全更新，该更新解决了软件中的输入验证漏洞（CVE-2017-3008）。

该修补程序还包括Apache BlazeDS的更新版本，以帮助解决Java反序列化中的远程代码执行问题（CVE-2017-2066）。

最新版本的BlazeDS是基于Java的远程消息传递功能，解决了本月早些时候由US-CERT披露的远程代码执行问题。

这种也会影响VMware和Atlassian软件的错误可能允许攻击者在某些情况下反序列化不受信任的Java对象时执行任意代码。 VMware在两周前修复了vCenter Server中的错误; Atlassian几个星期后修复了JIRA中的错误。

Markus Wulftange暗示该漏洞可能会影响Adobe开发的一些应用程序。 他当时建议任何运行易受攻击的BlazeDS实施的应用程序都会迁移到最新版本4.7.3来解决这个问题。

根据Adobe的安全公告，此修补程序适用于ColdFusion的2016年更新版本3及更早版本，ColdFusion 11的Update 11和更低版本以及ColdFusion 10的Update 22。该公司正在鼓励客户更新ColdFusion，应用必要的安全配置 设置和查看特定于其安装的锁定指南。

ColdFusion更新是Adobe本月推出的第二个更新。 该公司修补了近60个漏洞，其中包括许多代码执行错误 - 一些在今年的Pwn2Own上被挖掘 - 两个星期前的五个产品。 Flash Player，Acrobat / Reader，Photoshop，Adobe Campaign和该公司的Creative Cloud App都会收到更新，作为定期更新的一部分。

原文地址：https://threatpost.com/coldfusion-hotfix-resolves-xss-java-deserialization-bugs/125196/

（安全狗整理 谷歌翻译）