Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o ColdFusion | APSB20-16

ID do boletim

Data de publicação

Prioridade

APSB20-16

17 de março de 2020

2

Resumo

A Adobe lançou atualizações de segurança para as versões 2016 e 2018 do ColdFusion. Essas atualizações resolvem várias vulnerabilidades críticas que poderiam levar à execução arbitrária de código. 


Versões afetadas

Produto

Número da atualização

Plataforma

ColdFusion 2016

Atualização 13 e versão anterior

Todos

ColdFusion 2018

Atualização 7 e versões anteriores 

Todos

Observação:

Os servidores do ColdFusion implantados com o instalador de bloqueio recomendado não são afetados por essas vulnerabilidades.

Solução

A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão atualizada

Plataforma

Classificação de prioridade

Disponibilidade

ColdFusion 2016

Atualização 14

Todos

                   2

ColdFusion 2018

Atualização 8

Todos

2

Observação:

A Adobe recomenda atualizar o ColdFusion JDK/JRE para a versão mais recente das versões LTS para 1.8 e JDK 11. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor.  Consulte as Notas técnicas relevantes para obter mais detalhes. 

Servidores de aplicativos JEE:

Os usuários com implantações do JEE ColdFusion (como Tomcat, JBoss EAP) podem consultar as instruções em https://helpx.adobe.com/br/coldfusion/kb/coldfusion-2018-update-8.html#jee

ColdFusion 11

Recomenda-se que os usuários do ColdFusion 11 apliquem as etapas de mitigação descritas emhttps://helpx.adobe.com/br/coldfusion/kb/coldfusion-11-mitigation-steps.html

A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.  

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Números CVE

Leitura de arquivo remoto

Arquivo arbitrário lido do diretório de instalação do Coldfusion

Crítico

CVE-2020-3761

Inclusão de arquivo

Execução arbitrária de código de arquivos localizados no webroot ou em seu subdiretório

Crítico

CVE-2020-3794

Agradecimentos

A Adobe gostaria de agradecer a Wang Cheng, da Venustech ADLab (CVE-2020-3761, CVE-2020-3794) por ter relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes.

Requisito de JDK do ColdFusion

COLDFUSION 2018 HF1 e superior  

Para servidores de aplicativos   

Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.  

Por exemplo:   

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"

Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.   

COLDFUSION 2016 HF7 e superior

Esta atualização de segurança requer que o ColdFusion esteja no JDK 8u121 ou superior. A Adobe recomenda atualizar manualmente seu ColdFusion JDK/JRE para a versão mais recente. Caso você não atualize o JDK/JRE, simplesmente aplicar a atualização NÃO protege o servidor.

Para servidores de aplicativos

Além disso, em instalações do JEE, defina o seguinte sinalizador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no arquivo da respectiva inicialização dependendo do tipo de servidor de aplicativos que está sendo usado. 

Por exemplo:         

No servidor de aplicativos Apache Tomcat, edite JAVA_OPTS no arquivo "Catalina.bat/sh"

No servidor de aplicativos WebLogic, edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Em um servidor de aplicativos WildFly/EAP, edite JAVA_OPTS no arquivo "'standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual

Avisos legais da Adobe

Acordo de licença

Ao usar software da Adobe Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do acordo de licença do usuário final que acompanham determinado arquivo de software obtido mediante instalação ou download do software substituem os termos abaixo.

A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Coreia do Norte, Síria e a região da Crimeia que pertence à Ucrânia, nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído a pessoas cujos nomes estão na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais. 

Ao baixar ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Coreia do Norte, Síria e a região da Crimeia que pertence à Ucrânia, ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de ordens de proibição e recusa, na Lista de entidades ou na Lista de cidadãos com designações especiais. Se o software for desenvolvido para uso com um produto de software de aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Acordo de licença do usuário final da Adobe que rege o uso do Aplicativo Host.

ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.

LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQUENCIAIS DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou consequenciais, por isso, talvez a limitação ou exclusão acima não se aplique a você.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online