Atualização de segurança: Hotfixes disponíveis para o ColdFusion

Data de lançamento: 10 de maio de 2016

Última atualização: 10 de junho de 2016

Identificador de vulnerabilidade: APSB16-16

Prioridade: 2

Números CVE: CVE-2016-1113, CVE-2016-1114, CVE-2016-1115

Plataformas: Todas

Resumo

A Adobe lançou hotfixes de segurança para o ColdFusion versões 10, 11 e a versão 2016. Esses hotfixes resolvem um problema de validação de entrada (CVE -2016-1113), um problema de verificação do nome de host com certificados de caractere curinga (CVE -2016-1115) e incluem uma versão atualizada da biblioteca do Apache Commons Collections para amenizar o cancelamento de java (CVE-2016-1114).
A Adobe recomenda que os clientes apliquem o hotfix adequado usando as instruções fornecidas na seção "Solução" abaixo.

Versões afetadas

Produto Versões afetadas Plataforma
ColdFusion (versão 2016) 2016.0.0 Todos
ColdFusion 11 Atualização 7 e versões anteriores Todos
ColdFusion 10 Atualização 18 e versões anteriores Todos

Solução

A Adobe classifica esse hotfix com a seguinte prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente:

Produto Versão do hotfix Plataforma Classificação de prioridade Disponibilidade
ColdFusion (versão 2016) Atualização 1 Todos 2 Nota técnica
ColdFusion 11 Atualização 8 Todos
2 Nota técnica
ColdFusion 10 Atualização 19 Todos 2 Nota técnica

A Adobe recomenda que os clientes do ColdFusion atualizem suas instalações do produto seguindo as instruções fornecidas na technote relevante:

Os clientes também devem aplicar as configurações de segurança como descrito na página de segurança do ColdFusion, além de revisar o respectivo Guia de bloqueio.

Detalhes da vulnerabilidade

  • Esses hotfixes resolvem um problema de validação de entrada importante (CVE-2016-1113) que pode ser explorado para realizar ataques de script entre sites.
  • Esses hotfixes incluem uma versão atualizada da biblioteca Apache Commons Collections para mitigar uma vulnerabilidade importante de cancelamento de Java (CVE-2016-1114).
  • Esses hotfixes resolvem um problema moderado de verificação de nome de host que afeta os certificados de caractere curinga (CVE -2016-1115).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e empresas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Andrew Bonstrom (CVE-2016-1113)
  • Aaron Foote (CVE-2016-1114)
  • Pete Freitag da Foundeo Inc (CVE-2016-1115)

Revisões

10 de junho de 2016: adicionado crédito a Aaron Foote por ter relatado o CVE-2016-1114. 

Avisos legais da Adobe

Acordo de licença

Ao usar software da Adobe Systems Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do acordo de licença do usuário final que acompanham determinado arquivo de software obtido mediante instalação ou download do software substituem os termos abaixo.

A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Iraque, Líbia, Coreia do Norte, Sudão ou Síria nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído a pessoas cujos nomes estão na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais.

Ao baixar ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Iraque, Líbia, Coreia do Norte, Sudão ou Síria ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais. Se o software for desenvolvido para uso com um produto de software de aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Acordo de licença do usuário final da Adobe que rege o uso do Aplicativo Host.

ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.

LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQUENCIAIS DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou consequenciais, por isso, talvez a limitação ou exclusão acima não se aplique a você.