ColdFusion 版本
安全更新:ColdFusion 可用的修补程序
发布日期:2014 年 10 月 14 日
漏洞标识符:APSB14-23
优先级:请参见下表
CVE 编号:CVE-2014-0570、CVE-2014-0571、CVE-2014-0572
平台:所有平台
摘要
Adobe 已为适用于所有平台的 ColdFusion 11、10、9.0.2、9.0.1 和 9.0 发布了安全修补程序。这些修补程序解决了一个安全权限问题:未经身份验证的本地用户可能会利用该问题绕过适用于 ColdFusion 管理员的 IP 地址访问控制限制。 这些修补程序还解决了跨站点脚本和跨站点请求伪造漏洞。
受影响的软件版本
适用于所有平台的 ColdFusion 11、10、9.0.2、9.0.1 和 9.0。
解决方案
Adobe 建议 ColdFusion 客户使用 http://helpx.adobe.com/cn/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html 技术说明中的指导信息,更新其安装。
客户还应根据 ColdFusion 安全性页面上的概述,应用安全配置设置并查看 ColdFusion 11 锁定指南、ColdFusion 10 锁定指南和 ColdFusion 9 锁定指南。
优先级和严重等级
Adobe 使用以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
|
修补程序版本 |
平台 |
优先级 |
11 |
更新 2 |
全部 |
2 |
10 |
更新 14 |
全部 |
2 |
9.0.2 |
更新 7 |
全部 |
2 |
9.0.1 |
更新 12 |
全部 |
2 |
9.0 |
更新 13 |
全部 |
2 |
这些更新解决了软件中严重等级为重要的漏洞。
详细信息
Adobe 已为适用于所有平台的 ColdFusion 11、10、9.0.2、9.0.1 和 9.0 发布了安全修补程序。
这些修补程序解决了跨站点请求伪造漏洞 (CVE-2014-0570)。
这些修补程序解决了跨站点脚本漏洞 (CVE-2014-0571)。
这些修补程序解决了一个安全权限问题:未经身份验证的本地用户可能会利用该问题绕过 IP 地址访问控制限制 (CVE-2014-0572)。
致谢
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- 来自 Tripwire VERT 的 Craig Young (CVE-2014-0570)
- Foundeo Inc. 的 Pete Freitag (CVE-2014-0571)
- Aaron Foote (CVE-2014-0572)
Adobe 免责声明
许可协议
使用 Adobe Systems Incorporated 或其子公司(“Adobe”)的软件即表示您同意遵守以下条款和条件。如果您不同意这些条款和条件,请勿使用该软件。安装或下载特定软件时,该软件文件附带的最终用户许可协议的条款将取代以下条款。
Adobe 软件产品的出口或转口受 United States Export Administration Regulations(《美国出口管理法》)管制,此类软件不得出口或转口至古巴、伊朗、伊拉克、利比亚、朝鲜、苏丹、叙利亚或者美国对其实施货物禁运的任何国家/地区。此外,Adobe 软件不得分发给 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。
下载或使用 Adobe 软件产品即证明您并非古巴、伊朗、伊拉克、利比亚、朝鲜、苏丹、叙利亚或者美国对其实施货物禁运的任何国家/地区的公民,并且不是 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。如果该软件设计为与 Adobe 发布的某一应用程序软件产品(“宿主应用程序”)一起使用,Adobe 将授予您一个非独占性许可证,允许此类软件与该特定宿主应用程序一起使用,前提是您从 Adobe 获得了该宿主应用程序的有效许可证。除下述情况外,此类软件依据 Adobe《最终用户许可协议》的条款和条件授权给您,约束您对宿主应用程序的使用。
免责声明:您同意 Adobe 未向您做出关于该软件的任何明示的担保,并且该软件是“按原样”提供给您,且未提供任何形式的担保。Adobe 声明不提供关于该软件的任何明示或暗示的担保,包括但不限于任何对某一特定用途的适用性、适销性、适销质量或者不侵犯第三方权利所做的暗示担保。某些州或司法管辖区不允许排除暗示担保,因此以上限制可能对您并不适用。
责任限制:Adobe 在任何情况下都不对下列问题负责:任何的使用损失;业务中断;或者任何形式的直接、间接、特殊、偶发或后果性损害(包括利润损失),无论是何种形式的行为造成的,无论是否在合同中规定;侵权行为(包括疏忽);严格的产品责任或其它内容。即使 Adobe 已被告知可能出现此类损害,Adobe 也不承担责任。某些州或司法管辖区不允许排除对偶发或后果性损害的限制,因此以上限制可能对您并不适用。