Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per ColdFusion | APSB20-16

ID bollettino

Data di pubblicazione

Priorità

APSB20-16

17 marzo 2020

2

Adobe ha rilasciato alcuni aggiornamenti di sicurezza per ColdFusion, versioni 2016 e 2018. Questi aggiornamenti risolvono più vulnerabilità critiche che potrebbero provocare l'esecuzione arbitraria di codice.


Versioni interessate

Prodotto

Numero aggiornamento

Piattaforma

ColdFusion 2016

Aggiornamento 13 e versione precedente

Tutte

ColdFusion 2018

Aggiornamento 7 e versioni precedenti    

Tutte

Nota:

I server ColdFusion distribuiti con il programma di installazione di blocco consigliato non sono interessati da queste vulnerabilità.

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto

Versione aggiornata

Piattaforma

Livello di priorità

Disponibilità

ColdFusion 2016

Aggiornamento 14

Tutte

                   2

ColdFusion 2018

Aggiornamento 8

Tutte

2

Nota:

Adobe consiglia di aggiornare ColdFusion JDK/JRE all'ultima versione delle versioni LTS per 1.8 e JDK 11. L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server.  Consultare le note tecniche necessarie per ulteriori informazioni. 

Server applicazioni JEE:

Gli utenti che dispongono di implementazioni JEE ColdFusion (ad esempio Tomcat, JBoss EAP) possono fare riferimento alle istruzioni riportate in https://helpx.adobe.com/it/coldfusion/kb/coldfusion-2018-update-8.html#jee

ColdFusion 11

Si consiglia agli utenti di ColdFusion 11 di applicare le misure di attenuazione descritte in https://helpx.adobe.com/it/coldfusion/kb/coldfusion-11-mitigation-steps.html

Adobe consiglia inoltre ai clienti di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.    

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Codici CVE

Lettura di file remoti

File arbitrario letto dalla directory di installazione di ColdFusion

Critica

CVE-2020-3761

Inserimento di file  

Esecuzione di codice arbitrario per i file che si trovano nella webroot o nella relativa sottodirectory

Critica

CVE-2020-3794

Ringraziamenti

Adobe desidera ringraziare Wang Cheng of Venustech ADLab (CVE-2020-3761, CVE-2020-3794) per aver segnalato tali problemi e per aver collaborato con Adobe a contribuire alla sicurezza dei clienti.

Requisiti JDK di ColdFusion

COLDFUSION 2018 HF1 e versioni successive  

Per i server di applicazioni   

Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.   

Ad esempio:   

Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Server applicazioni WebLogic:  modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Server applicazioni WildFly/EAP:  modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.   

COLDFUSION 2016 HF 7 e versioni successive

Questo aggiornamento della sicurezza richiede che ColdFusion disponga di JDK 8u121 o successivo. Adobe consiglia di aggiornare manualmente il vostro ColdFusion JDK/JRE all'ultima versione. Nel caso in cui l'utente non aggiorni il JDK/JRE, l'applicazione dell'aggiornamento NON protegge il server.

Per i server di applicazioni

Inoltre, sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", nel relativo file di avvio in base al tipo di server applicazioni in uso. 

Ad esempio:         

Sul server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Sul server applicazioni WebLogic modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Su un server applicazioni WildFly/EAP modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone

Dichiarazione di non responsabilità di Adobe

Contratto di licenza

L'utilizzo del software di Adobe Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.

L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Corea del Nord, Siria e regione della Crimea in Ucraina e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. 

Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere un cittadino dei seguenti paesi: Cuba, Iran, Corea del Nord, Siria e la regione della Crimea in Ucraina né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.

ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.

LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.

Logo Adobe

Accedi al tuo account