Adobe ColdFusion 任意命令執行漏洞(CVE–2017–11283, CVE–2017–11284)預警

0x00 事件描述

Adobe ColdFusion 在 2017 年 9 月 12 日發布的安全更新中提及到之前版本中存在嚴重的反序列化漏洞（CVE-2017-11283, CVE-2017-11284），可導致遠程代碼執行。當使用 Flex 集成服務開啟 Remote Adobe LiveCycle Data Management access 的情況下可能受到該漏洞的影響，使用該功能會開啟 RMI 服務，監聽的埠為 1099。ColdFusion 自帶的 Java 版本過低，不會在反序列化之前對 RMI 請求中的對象類型進行檢驗。

360CERT 經過分析驗證，確認該漏洞確實存在，請相關用戶儘快進行更新處理。

0x01 影響版本

1.ColdFusion (2016 release) Update 4 以及之前的版本

2.ColdFusion 11 Update 12 以及之前版本

0x02 漏洞利用驗證

往 RMI 服務發送構造好的 payload 做一個簡單的遠程代碼執行驗證。

0x03 修復方案

1.在管理頁面關閉 Remote Adobe LiveCycle Data Management access

2.升級最新補丁 ColdFusion (2016 release) Update 5，ColdFusion 11 Update 13

0x04 時間線

2017-9-12 Adobe ColdFusion 發布安全更新

2017-10-19 360CERT 發布漏洞預警

0x05 參考鏈接

https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html

https://nickbloor.co.uk/2017/10/13/adobe-coldfusion-deserialization-rce-cve-2017-11283-cve-2017-11238/

推薦閱讀：