ColdFusion에서 중요한 명령 주입, 파일 확장자 블랙리스트 우회와 비직렬화 취약점을 수정했다. 이 취약점들로 인해 시스템에서 임의 코드 실행이 가능하다. ColdFusion의 결함 목록은 아래와 같다.
-파일 확장자 블랙리스트 우회 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7838
-명령 삽입 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7839
-신뢰할 수 없는 데이터의 비직렬화 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7840
해당 결함은 ColdFusion 2016, 2018 그리고 11에 영향을 미친다. 어도비는 이들 결함을 보고한 Knownsec 404팀, Moritz Bechler(SySS GmbH), 그리고 Brenden Meeder(Booz Allen Hamilton)의 공로를 인정했다. 또한 어도비 LiveCycle 데이터 관리 기능 원격 액세스를 기본적으로 비활성화 했다고 공지했다.
임의 코드가 실행될 수 있는 use-after-free 취약점(CVE-2019-7845)도 패치 완료했다. 이는 ZDI를 통해 익명으로 보고된 취약점이다.
보안 권고는 “어도비는 윈도우, macOS, 리눅스 및 크롬OS 용 어도비 플래시 플레이어 대상 보안 업데이트를 발표했다. 이 업데이트는 심각 수준 취약점을 해결한다. 공격자는 성공적인 익스플로잇을 통해 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있다”고 설명한다.
마지막으로 정보 공개, 임의 파일 읽기 및 코드 실행 문제를 포함해 캠페인 제품에서 7가지 취약점도 패치되었다. CVE-2019-7850으로 추적된 취약점은 임의 코드 실행이 가능한 명령 주입 결함이다.
★정보보안 대표 미디어 데일리시큐!★