某些 Creative Cloud 应用程序、服务和功能在中国不可用。
A Adobe lançou atualizações de segurança para o ColdFusion versão 11 e versão 2016. Essas atualizações resolvem uma vulnerabilidade de segurança importante do carregamento da biblioteca (CVE -2018-4938), uma vulnerabilidade de script de site importante que pode levar à injeção de código (CVE -2018-4940) e a uma vulnerabilidade importante de script de site que pode levar à divulgação de informações (CVE -2018-4941). Essas atualizações também incluem uma minimização para uma vulnerabilidade importante insegura de desserialização Java (CVE -2018-4939) e uma minimização para uma vulnerabilidade importante insegura de análise XML (CVE -2018-4942).
| Produto | Versões afetadas | Plataforma |
|---|---|---|
| ColdFusion (versão 2016) | Atualização 5 de e versões anteriores | Todos |
| ColdFusion 11 | Atualização 13 e versões anteriores | Todos |
A Adobe classifica essa atualização com a seguinte prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente:
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Disponibilidade |
|---|---|---|---|---|
| ColdFusion (versão 2016) | Atualização 6 | Todos | 2 | Nota técnica |
| ColdFusion 11 | Atualização 14 | Todos |
2 | Nota técnica |
Observação:
As atualizações de segurança mencionadas nas notas de tecnologia acima exigem JDK 8u121 ou superior (ColdFusion 2016) e o JAVA JDK 7u131 ou JDK 8u121 (ColdFusion 11). A Adobe recomenda atualizar seu ColdFusion JDK/JRE para a versão mais recente. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor. Consulte as notas técnicas relevantes para obter mais detalhes.
Os clientes também devem aplicar as configurações de segurança como descrito na página de segurança do ColdFusion, além de revisar os respectivos Guias de bloqueio.
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Números CVE |
|---|---|---|---|
| Carregamento incerto da biblioteca | Escalonamento de privilégios locais | Importante | CVE-2018-4938 |
| Cancelamento de serialização de dados não confiáveis | Execução de código remota | Crítico | CVE-2018-4939 |
| Script entre sites | Divulgação de informações | Importante | CVE-2018-4940 |
| Script entre sites | Divulgação de informações | Importante | CVE-2018-4941 |
| Processamento inseguro de entidades externas XML | Divulgação de informações | Crítico | CVE-2018-4942 |
A Adobe gostaria de agradecer às seguintes pessoas e empresas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:
- Nitesh Shilpkar (CVE-2018-4938)
- Nick Bloor do NCC Group (CVE-2018-4939)
- Jaaziel Sam Carlos (CVE-2018-4940)
- William Eatman e Michael S. O'Dell da USRA (CVE-2018-4941)
- Matthias Kaiser da Code White GmbH (CVE-2018-4942)
COLDFUSION 2016 HF6
Esta atualização de segurança requer que o ColdFusion esteja no JDK 8u121 ou superior. A Adobe recomenda atualizar seu ColdFusion JDK/JRE para a versão mais recente. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor.
Para servidores de aplicativos
Além disso, em instalações do JEE, defina o seguinte sinalizador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", no arquivo da respectiva inicialização dependendo do tipo de servidor de aplicativos que está sendo usado.
Por exemplo:
No servidor de aplicativos do Apache Tomcat, edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
No servidor de aplicativos WebLogic, edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Em um servidor de aplicativos WildFly/EAP, edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
COLDFUSION 11 HF14
Esta atualização de segurança requer que o ColdFusion esteja no JDK 7u131 ou JDK 8u121 ou superior.
A Adobe recomenda atualizar seu ColdFusion JDK/JRE para a versão mais recente. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor.
Para servidores de aplicativos
Além disso, em instalações do J2EE, defina o seguinte sinalizador JVM, "- Djdk.serialFilter =! org.mozilla.**;!com.sun.syndication.**", no arquivo da respectiva inicialização dependendo do tipo de servidor de aplicativos que está sendo usado.
Por exemplo:
No servidor de aplicativos do Apache Tomcat, edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
No servidor de aplicativos WebLogic, edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Em um servidor de aplicativos WildFly/EAP, edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Acordo de licença
Ao usar software da Adobe Systems Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do acordo de licença do usuário final que acompanham determinado arquivo de software obtido mediante instalação ou download do software substituem os termos abaixo.
A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Iraque, Líbia, Coreia do Norte, Sudão ou Síria nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído a pessoas cujos nomes estão na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais.
Ao baixar ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Iraque, Líbia, Coreia do Norte, Sudão ou Síria ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais. Se o software for desenvolvido para uso com um produto de software de aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Acordo de licença do usuário final da Adobe que rege o uso do Aplicativo Host.
ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.
LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQUENCIAIS DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou consequenciais, por isso, talvez a limitação ou exclusão acima não se aplique a você.