安全公告编号:CNTA-2017-0071

近日，国家信息安全漏洞共享平台（CNVD）收录了Adobe ColdFusion反序列化漏洞（CNVD-2017-30461，对应CVE-2017-11283），攻击者成功利用漏洞可导致敏感信息泄露及远程代码执行。

一、漏洞情况分析

ColdFusion，是Adobe旗下的一个动态Web服务器，其CFML（ColdFusionMarkup Language）是一种程序设计语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。

ColdFusion存在反序列化漏洞，其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务，且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作，攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行，并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。

CNVD对漏洞的综合评级均为“高危”。

二、漏洞影响范围

ColdFusion 11 Update 12及之前版本

ColdFusion （2016 release） Update 4及之前版本

三、漏洞处置建议

根据官方发布的安全更新，建议升级最新补丁：

ColdFusion 11 Update13:

http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html

ColdFusion (2016 release) Update5: 

http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html 

不能及时升级补丁的，可以采用如下临时解决方案：

检查1099端口是否开放，如果开放则存在安全隐患，请及时关闭“Remote AdobeLiveCycle DataManagement access”服务。

附：参考链接：

https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html

https://nickbloor.co.uk/2017/10/13/adobe-coldfusion-deserialization-rce-cve-2017-11283-cve-2017-11238/

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30461