Bulletin-id
Beveiligingsupdates beschikbaar voor ColdFusion | APSB18-33
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB18-33 |
11 september 2018 |
2 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor Coldfusion versies 2018, 2016 en 11.Deze updates lossen kritieke kwetsbaarheden op die zouden kunnen leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
Product |
Van toepassing op de volgende versies |
Platform |
---|---|---|
ColdFusion (versie 2018) |
Release op 12 juli (2018.0.0.310739) |
Alles |
ColdFusion (versie 2016) |
Update 6 en eerdere versies |
Alles |
ColdFusion 11 |
Update 14 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
---|---|---|---|---|
ColdFusion 2018 |
Update 1 |
Alles |
2 |
|
ColdFusion 2016 |
Update 7 |
Alles |
2 |
|
ColdFusion 11 |
Update 15 |
Alles |
2 |
De beveiligingsupdates waarnaar in de bovenstaande technische opmerkingen wordt verwezen, vereisen JDK 8u121 of hoger (voor ColdFusion 2016) en JDK 7u131 of JDK 8u121 (voor ColdFusion 11). Adobe raadt u aan om uw ColdFusion JDK/JRE bij te werken naar de nieuwste versie. Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server niet beveiligd. Raadpleeg voor meer informatie de relevante technische opmerkingen.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummers |
Deserialisatie van onbetrouwbare data |
Uitvoering van willekeurige code |
Kritiek |
CVE-2018-15965 CVE-2018-15957 CVE-2018-15958 CVE-2018-15959 |
Gebruik van een component met bekende problemen |
Openbaarmaking van informatie |
Matig |
CVE-2018-15964 |
Omzeilen van de beveiliging |
Willekeurige mappen aanmaken |
Belangrijk |
CVE-2018-15963 |
Mappenlijst |
Openbaarmaking van informatie |
Belangrijk |
CVE-2018-15962 |
Onbeperkt bestanden uploaden |
Uitvoering van willekeurige code |
Kritiek |
CVE-2018-15961 |
Gebruik van een component met bekende problemen |
Overschrijven van willekeurige bestanden |
Kritiek |
CVE-2018-15960 |
Dankbetuigingen
Adobe dankt de volgende personen en organisaties voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
- Matthias Kaiser van Code White Gmbh (CVE-2018-15957, )
- Gsrc van Venustech-Adlab (CVE-2018-15958, CVE-2018-15959)
- Pete Freitag van Foundeo (CVE-2018-15960, CVE-2018-15961, CVE-2018-15962, CVE-2018-15963, CVE-2018-15964)
- Nick Bloor van Cognitous Ltd (CVE-2018-15965)
Vereiste voor ColdFusion JDK
COLDFUSION 2018 HF1
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, in het desbetreffende opstartbestand afhankelijk van het type toepassingsserver dat wordt gebruikt.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2016 HF7
Deze beveiligingsupdate vereist JDK 8u121 of hoger voor ColdFusion. Adobe raadt u aan uw ColdFusion JDK/JRE handmatig te updaten naar de nieuwste versie. Als u uw JDK/JRE niet updatet, wordt de server NIET beveiligd door de update toe te passen.
Voor toepassingsservers
Stel daarnaast voor JEE-installaties de volgende JVM-markering in: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, in het desbetreffende opstartbestand afhankelijk van het type toepassingsserver dat wordt gebruikt.
Bijvoorbeeld:
Op de toepassingsserver van Apache Tomcat bewerkt u JAVA_OPTS in het bestand 'Catalina.bat/sh'
Op de toepassingsserver van WebLogic bewerkt u JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Op een toepassingsserver van WildFly/EAP bewerkt u JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie
COLDFUSION 11 HF15
Deze beveiligingsupdate vereist JDK 7u131 of JDK 8u121 of hoger voor ColdFusion. Adobe raadt u aan uw ColdFusion JDK/JRE handmatig te updaten naar de nieuwste versie. Als u uw JDK/JRE niet updatet, wordt de server NIET beveiligd door de update toe te passen.
Voor toepassingsservers
Stel daarnaast voor J2EE-installaties de volgende JVM-markering in: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, in het desbetreffende opstartbestand afhankelijk van het type toepassingsserver dat wordt gebruikt.
Bijvoorbeeld:
Op de toepassingsserver van Apache Tomcat bewerkt u JAVA_OPTS in het bestand 'Catalina.bat/sh'
Op de toepassingsserver van WebLogic bewerkt u JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Op een toepassingsserver van WildFly/EAP bewerkt u JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie
Verklaring van afstand van Adobe
Licentieovereenkomst
Door het gebruik van software van Adobe Systems Incorporated of haar dochterondernemingen ("Adobe"), stem je in met de volgende bepalingen en voorwaarden. Als je niet instemt met deze bepalingen en voorwaarden, gebruik je de software niet. De bepalingen van een licentieovereenkomst voor eindgebruikers die bij de installatie of download van een bepaald softwarebestand hoort, hebben prioriteit over de hieronder vermelde bepalingen.
De export en herexport van Adobe-softwareproducten wordt beheerst door de Export Administration-regelgeving van de Verenigde Staten en dergelijke software mag niet worden geëxporteerd of geherexporteerd naar Cuba; Iran; Irak; Libië; Noord-Korea; Soedan of Syrië of elk ander land waarvoor door de Verenigde Staten een embargo is ingesteld. Daarnaast mag Adobe-software niet worden gedistribueerd aan personen die in de Table of Denial Orders, de Entity List of de lijst Specially Designated Nationals zijn opgenomen.
Door een Adobe software-product te downloaden of te gebruiken, geef je te kennen dat je geen staatsburger bent van Cuba; Iran; Irak; Libië; Noord-Korea; Soedan of Syrië of van elk land waarvoor door de Verenigde Staten een embargo is ingesteld en dat je niet op de Table of Denial Orders, de Entity List of de lijst Specially Designated Nationals bent vermeld. Als de software bestemd is voor gebruik met een softwaretoepassing (de "hosttoepassing") die door Adobe is gepubliceerd, verleent Adobe je een niet-exclusieve licentie voor het exclusieve gebruik van dergelijke software met de Hosttoepassing; op voorwaarde dat je beschikt over een geldige licentie van Adobe voor de Hosttoepassing. Met uitzondering van wat hieronder is vermeld; wordt de software aan jou in licentie gegeven in overeenkomst met de bepalingen en voorwaarden van de licentieovereenkomst voor eindgebruikers van Adobe die heerst over je gebruik van de Hosttoepassing.
BEPERKING VAN GARANTIES: JE STEMT ERMEE IN DAT ADOBE JE GEEN UITDRUKKELIJKE GARANTIE HEEFT GEBODEN MET BETREKKING TOT DE SOFTWARE EN DAT DE SOFTWARE ONGEWIJZIGD ("AS IS") AAN JOU WORDT GELEVERD ZONDER ENIGE GARANTIE. ADOBE VERLEENT GEEN ENKELE GARANTIE MET BETREKKING TOT DE SOFTWARE; UITDRUKKELIJK NOCH IMPLICIET; MET INBEGRIP VAN, MAAR NIET BEPERKT TOT, ENIGE IMPLICIETE GARANTIE BETREFFENDE DE GESCHIKTHEID VOOR EEN BEPAALD DOEL; DE VERKOOPBAARHEID; DE VERKOOPWAARDE OF HET NIET-INBREUKMAKENDE KARAKTER VAN DE SOFTWARE. In sommige staten of rechtsgebieden is het uitsluiten van impliciete garanties niet toegestaan. Hierdoor is het mogelijk dat de hiervoor vermelde beperkingen niet op jou van toepassing zijn.
AANSPRAKELIJKHEIDSBEPERKING: ADOBE IS IN GEEN GEVAL AANSPRAKELIJK JEGENS JOU VOOR ENIGE VORM VAN VERLIES VAN GEBRUIK, BEDRIJFSONDERBREKINGEN, OF ENIGE ANDERE DIRECTE, INDIRECTE, SPECIALE, INCIDENTELE, OF GEVOLGSCHADE (MET INBEGRIP VAN WINSTDERVING) ONGEACHT DE VORM VAN DE RECHTSVORDERING, ONRECHTMATIG, NOCH CONTRACTUEEL (MET INBEGRIP VAN NALATIGHEID), RISICOAANSPRAKELIJKHEID OF ANDERSZINS; ZELFS INDIEN ADOBE OP DE HOOGTE IS GESTELD VAN DE MOGELIJKHEID VAN DERGELIJKE SCHADE. Aangezien in bepaalde staten of rechtsgebieden het uitsluiten of beperken van incidentele of gevolgschade niet is toegestaan, is het mogelijk dat deze beperking of uitsluiting niet op jou van toepassing is.