Bulletin-id
Laatst bijgewerkt op
2 mei 2021
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB21-16
|
|
Publicatiedatum |
Prioriteit |
|
APSB21-16 |
22 maart 2021 |
2 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versies 2021, 2016 en 2018.Deze updates lossen een gemiddelde kwetsbaarheid op die zou kunnen leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
|
Product |
Nummer update |
Platform |
|
ColdFusion 2016 |
Update 16 en eerdere versies |
Alles |
|
ColdFusion 2018 |
Update 10 en eerdere versies |
Alles |
|
ColdFusion 2021 |
Versie 2021.0.0.323925 |
Alles |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|---|---|---|---|---|
|
ColdFusion 2016 |
Update 17 |
Alles |
2 |
|
|
ColdFusion 2018 |
Update 11 |
Alles |
2 |
|
|
ColdFusion 2021 |
Update 1 |
Alles |
2 |
Opmerking:
Adobe raadt u aan uw ColdFusion JDK/JRE te updaten naar de nieuwste versie van de LTS-releases voor 1.8 en JDK 11. Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server niet beveiligd. Zie de relevante technische opmerkingen voor meer informatie.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummers |
|
XSS (Cross-Site Scripting) |
Uitvoering van willekeurige code |
Matig |
CVE-2021-21087 |
Dankbetuigingen
Adobe bedankt Josh Lane voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen.
Vereiste voor ColdFusion JDK
COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2018 HF1 en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2016 HF7 en hoger
Deze beveiligingsupdate vereist JDK 8u121 of hoger voor ColdFusion. Adobe raadt u aan uw ColdFusion JDK/JRE handmatig te updaten naar de nieuwste versie. Als u uw JDK/JRE niet updatet, wordt de server NIET beveiligd door de update toe te passen.
Voor toepassingsservers
Stel daarnaast voor JEE-installaties de volgende JVM-markering in: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, in het desbetreffende opstartbestand afhankelijk van het type toepassingsserver dat wordt gebruikt.
Bijvoorbeeld:
Op de toepassingsserver van Apache Tomcat bewerkt u JAVA_OPTS in het bestand 'Catalina.bat/sh'
Op de toepassingsserver van WebLogic bewerkt u JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Op een toepassingsserver van WildFly/EAP bewerkt u JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie
Verklaring van afstand van Adobe
Licentieovereenkomst
Door het gebruik van software van Adobe Incorporated of haar dochterondernemingen ("Adobe"), stem je in met de volgende bepalingen en voorwaarden. Als je niet instemt met deze bepalingen en voorwaarden, gebruik je de software niet. De bepalingen van een licentieovereenkomst voor eindgebruikers die bij de installatie of download van een bepaald softwarebestand hoort, hebben prioriteit over de hieronder vermelde bepalingen.
Het exporteren en opnieuw exporteren van Adobe-softwareproducten wordt gereguleerd door de Export Administration Regulations van de Verenigde Staten en dergelijke software mag niet worden geëxporteerd of opnieuw worden geëxporteerd naar Cuba, Iran, Noord-Korea, Syrië en het Krim-gebied in Oekraïne, of eender welk land waarvoor goederen door de Verenigde Staten onder embargo zijn gesteld. Daarnaast mag Adobe-software niet worden gedistribueerd aan personen die in de Table of Denial Orders, de Entity List of de lijst Specially Designated Nationals zijn opgenomen.
Door een Adobe-softwareproduct te downloaden of te gebruikten, garandeert u dat u geen staatsburger bent van Cuba, Iran, Noord-Korea, Syrië en het Krim-gebied in Oekraïne, of eender welk land waarvoor goederen door de Verenigde Staten onder embargo zijn gesteld, en dat u niet vermeld staat in de Amerikaanse Table of Denial Orders (embargolijst), de Entity List (lijst met entiteiten) of de List of Specially Designated Nationals (lijst met speciaal aangewezen staatsburgers). Als de software bestemd is voor gebruik met een softwaretoepassing (de "hosttoepassing") die door Adobe is gepubliceerd, verleent Adobe je een niet-exclusieve licentie voor het exclusieve gebruik van dergelijke software met de Hosttoepassing; op voorwaarde dat je beschikt over een geldige licentie van Adobe voor de Hosttoepassing. Met uitzondering van wat hieronder is vermeld; wordt de software aan jou in licentie gegeven in overeenkomst met de bepalingen en voorwaarden van de licentieovereenkomst voor eindgebruikers van Adobe die heerst over je gebruik van de Hosttoepassing.
BEPERKING VAN GARANTIES: JE STEMT ERMEE IN DAT ADOBE JE GEEN UITDRUKKELIJKE GARANTIE HEEFT GEBODEN MET BETREKKING TOT DE SOFTWARE EN DAT DE SOFTWARE ONGEWIJZIGD ("AS IS") AAN JOU WORDT GELEVERD ZONDER ENIGE GARANTIE. ADOBE VERWERPT ALLE GARANTIES MET BETREKKING TOT DE SOFTWARE; EXPLICIET OF IMPLICIET; INCLUSIEF, MAAR NIET BEPERKT TOT EENDER WELKE IMPLICIETE GARANTIES VAN GESCHIKTHEID VOOR EEN SPECIFIEK DOEL, VERKOOPBAARHEID, VERKOOPKWALITEIT OF NIET-INBREUK OP RECHTEN VAN EXTERNE PARTIJEN. In sommige staten of rechtsgebieden is de uitvoering van impliciete garanties niet toegestaan; mogelijk zijn de bovenstaande beperkingen dus niet op u van toepassing.
AANSPRAKELIJKHEIDSBEPERKING: ADOBE IS IN GEEN GEVAL AANSPRAKELIJK JEGENS JOU VOOR ENIGE VORM VAN VERLIES VAN GEBRUIK, BEDRIJFSONDERBREKINGEN, OF ENIGE ANDERE DIRECTE, INDIRECTE, SPECIALE, INCIDENTELE, OF GEVOLGSCHADE (MET INBEGRIP VAN WINSTDERVING) ONGEACHT DE VORM VAN DE RECHTSVORDERING, ONRECHTMATIG, NOCH CONTRACTUEEL (MET INBEGRIP VAN NALATIGHEID), RISICOAANSPRAKELIJKHEID OF ANDERSZINS; ZELFS INDIEN ADOBE OP DE HOOGTE IS GESTELD VAN DE MOGELIJKHEID VAN DERGELIJKE SCHADE. In sommige staten of rechtsgebieden is de uitsluiting of beperking van incidentele schade of gevolgschade niet toegestaan; mogelijk is de bovenstaande beperking of uitsluiting dus niet op u van toepassing.
Revisies
26 maart 2021: De graadmeter voor ernst bijgewerkt voor CVE-2021-21087.
13 april 2021: De categorie van kwetsbaarheid is bijgewerkt naar Scripts die verwijzen naar andere sites.
