Adobe 安全公告
可用于 ColdFusion 的安全更新 | APSB17-30
公告 ID 发布日期 优先级
APSB17-30 2017 年 9 月 12 日 2

摘要

Adobe 发布了可用于 ColdFusion 版本 11 和 2016 版本的安全更新。这些更新解决了一个关键 XML 解析漏洞 (CVE-2017-11286)、一个可能导致信息泄露的重要跨站点脚本漏洞 (CVE-2017-11285),以及一个可能导致远程代码执行的不安全 Java 反序列化缓解(CVE-2017-11283、CVE-2017-11284)。

受影响的版本

产品 受影响的版本 平台
ColdFusion(2016 版) 更新 4 及更早版本 全部
ColdFusion 11 更新 12 及更早版本 全部

解决方案

Adobe 按照以下优先级将此更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级 获取途径
ColdFusion(2016 版) 更新 5 全部 2 技术说明
ColdFusion 11 更新 13 全部
2 技术说明

Adobe 建议 ColdFusion 客户使用以下相关技术说明,更新他们安装的版本:

另外,客户还应当根据“ColdFusion 安全”页面上概述的信息,应用各种安全配置设置,并查看相应的锁定指南。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
XML 外部实体引用限制不恰当 信息泄露 关键 CVE-2017-11286
网页生成过程中的输入转义处理不恰当(跨站点脚本)
信息泄露 重要
CVE-2017-11285
不受信任的数据反序列化 远程代码执行 关键 CVE-2017-11283、CVE-2017-11284

致谢

Adobe 感谢以下人员和组织报告这些问题并与 Adobe 共同保护客户的安全:

  • 来自 NCC Group 的 Nick Bloor(CVE-2017-11283、CVE-2017-11284)
  • 来自 Telekom Security 的 Daniel Sayk (CVE-2017-11285)
  • 来自 Depth Security 的 Daniel Lawson (CVE-2017-11286)

Adobe 免责声明

许可协议

使用 Adobe Systems Incorporated 或其子公司(“Adobe”)的软件即表示您同意遵守以下条款和条件。如果您不同意这些条款和条件,请勿使用该软件。安装或下载特定软件时,该软件文件附带的最终用户许可协议的条款将取代以下条款。

Adobe 软件产品的出口或转口受 United States Export Administration Regulations(《美国出口管理法》)管制,此类软件不得出口或转口至古巴、伊朗、伊拉克、利比亚、朝鲜、苏丹、叙利亚或者美国对其实施货物禁运的任何国家/地区。此外,Adobe 软件不得分发给 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。

下载或使用 Adobe 软件产品即证明您并非古巴、伊朗、伊拉克、利比亚、朝鲜、苏丹、叙利亚或者美国对其实施货物禁运的任何国家/地区的公民,并且不是 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。如果该软件设计为与 Adobe 发布的某一应用程序软件产品(“宿主应用程序”)一起使用,Adobe 将授予您一个非独占性许可证,允许此类软件与该特定宿主应用程序一起使用,前提是您从 Adobe 获得了该宿主应用程序的有效许可证。除下述情况外,此类软件依据 Adobe《最终用户许可协议》的条款和条件授权给您,约束您对宿主应用程序的使用。

免责声明:您同意 Adobe 未向您做出关于该软件的任何明示的担保,并且该软件是“按原样”提供给您,且未提供任何形式的担保。Adobe 声明不提供关于该软件的任何明示或暗示的担保,包括但不限于任何对某一特定用途的适用性、适销性、适销质量或者不侵犯第三方权利所做的暗示担保。某些州或司法管辖区不允许排除暗示担保,因此以上限制可能对您并不适用。

责任限制:Adobe 在任何情况下都不对下列问题负责:任何的使用损失;业务中断;或者任何形式的直接、间接、特殊、偶发或后果性损害(包括利润损失),无论是何种形式的行为造成的,无论是否在合同中规定;侵权行为(包括疏忽);严格的产品责任或其它内容。即使 Adobe 已被告知可能出现此类损害,Adobe 也不承担责任。某些州或司法管辖区不允许排除对偶发或后果性损害的限制,因此以上限制可能对您并不适用。