Adobe 发布了 ColdFusion 版本 2018、2016 和 11 的安全更新。这些更新解决了可能导致任意代码执行的三个关键漏洞。
| 产品 | 受影响的版本 | 平台 |
|---|---|---|
| ColdFusion 2018 | 更新 3 及早期版本 | 全部 |
| ColdFusion 2016 | 更新 10 及更早版本 | 全部 |
| ColdFusion 11 | 更新 18 及更早版本 | 全部 |
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
备注:
以上技术说明中提及的安全更新需要 JDK 8u121 或更高版本(对于 ColdFusion 2016)以及 JDK 7u131 或 JDK 8u121(对于 ColdFusion 11)。Adobe 建议将您的 ColdFusion JDK/JRE 更新至最新版本。如果未进行相应的 JDK 更新,应用 ColdFusion 更新将不会保护服务器。 有关更多详细信息,请参阅相关的技术说明。
| 漏洞类别 | 漏洞影响 | 严重性 | CVE 编号 |
|---|---|---|---|
| 绕过文件扩展名黑名单 | 任意代码执行 | 关键(请参阅下面的备注) | CVE-2019-7838 |
| 命令注入 | 任意代码执行 | 关键(请参阅下面的备注) | CVE-2019-7839 |
| 不受信任的数据反序列化 | 任意代码执行 | 关键(请参阅下面的备注) | CVE-2019-7840 |
备注:
CVE-2019-7838:仅当文件上传目录可通过 Web 访问时,才可利用此漏洞。
CVE-2019-7839:此漏洞不影响 ColdFusion 11。
CVE-2019-7840:有关缓解此漏洞的更多信息,请参阅 ColdFusion 版本的技术说明。
Adobe 感谢以下人员和组织报告这些问题并与 Adobe 共同保护客户的安全:
来自知道创宇 404 安全团队的 Badcode (CVE-2019-7838)
Moritz Bechler (SySS GmbH) (CVE-2019-7839)
来自 Booz Allen Hamilton 的 Brenden Meeder (CVE-2019-7840)
COLDFUSION 2018 HF1 及更高版本
对于应用程序服务器
在 JEE 安装中,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下 JVM 标志:“-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。
例如:
Apache Tomcat 应用程序服务器:在“Catalina.bat/sh”文件中编辑 JAVA_OPTS
WebLogic 应用程序服务器:在“startWeblogic.cmd”文件中编辑 JAVA_OPTIONS
WildFly/EAP 应用程序服务器:在“standalone.conf”文件中编辑 JAVA_OPTS
在 ColdFusion 的 JEE 安装而不是独立安装中设置 JVM 标志。
COLDFUSION 2016 HF7 及更高版本
此安全更新要求 ColdFusion 处于 JDK 8u121 或更高版本中。Adobe 建议您必须手动将 ColdFusion JDK/JRE 更新至最新版本。如果您没有更新 JDK/JRE,那么仅仅应用更新并不能保护服务器的安全。
对于应用程序服务器
此外,在 JEE 安装中,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下 JVM 标志:“-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。
例如:
在 Apache Tomcat 应用程序服务器上,在“Catalina.bat/sh”文件中编辑 JAVA_OPTS
在 WebLogic 应用程序服务器上,在“startWeblogic.cmd”文件中编辑 JAVA_OPTIONS
在 WildFly/EAP 应用程序服务器上,在“standalone.conf”文件中编辑 JAVA_OPTS
在 ColdFusion 的 JEE 安装而不是独立安装中设置 JVM 标志
COLDFUSION 11 HF15 及更高版本
此安全更新要求 ColdFusion 处于 JDK 7u131 或者 JDK 8u121 或更高版本中。Adobe 建议您必须手动将 ColdFusion JDK/JRE 更新至最新版本。如果您没有更新 JDK/JRE,那么仅仅应用更新并不能保护服务器的安全。
对于应用程序服务器
此外,在 J2EE 安装中,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下 JVM 标志:“-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。
例如:
在 Apache Tomcat 应用程序服务器上,在“Catalina.bat/sh”文件中编辑 JAVA_OPTS
在 WebLogic 应用程序服务器上,在“startWeblogic.cmd”文件中编辑 JAVA_OPTIONS
在 WildFly/EAP 应用程序服务器上,在“standalone.conf”文件中编辑 JAVA_OPTS
在 ColdFusion 的 JEE 安装而不是独立安装中设置 JVM 标志
许可协议
使用 Adobe Incorporated 或其子公司(“Adobe”)的软件即表示您同意遵守以下条款和条件。如果您不同意这些条款和条件,请勿使用该软件。安装或下载特定软件时,该软件文件附带的最终用户许可协议的条款将取代以下条款。
Adobe 软件产品的出口或转出口受《美国出口管理法》管制,此类软件不得出口或转出口至古巴、伊朗、朝鲜、叙利亚和乌克兰的克里米亚地区,或美国对其实施货物禁运的任何国家/地区。此外,Adobe 软件不得分发给 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。
下载或使用 Adobe 软件产品即证明您并非古巴、伊朗、朝鲜、叙利亚和乌克兰的克里米亚地区,或美国对其实施货物禁运的任何国家/地区的公民,并且不是 Table of Denial Orders(《拒绝订购表》)、Entity List(《实体名单》)或 List of Specially Designated Nationals(《特别指定国民名单》)中列出的人员。如果该软件设计为与 Adobe 发布的某一应用程序软件产品(“宿主应用程序”)一起使用,Adobe 将授予您一个非独占性许可证,允许此类软件与该特定宿主应用程序一起使用,前提是您从 Adobe 获得了该宿主应用程序的有效许可证。除下述情况外,此类软件依据 Adobe《最终用户许可协议》的条款和条件授权给您,约束您对宿主应用程序的使用。
免责声明:您同意 Adobe 未向您做出关于该软件的任何明示的担保,并且该软件是“按原样”提供给您,且未提供任何形式的担保。Adobe 声明不提供关于该软件的任何明示或暗示的担保,包括但不限于任何对某一特定用途的适用性、适销性、适销质量或者不侵犯第三方权利所做的暗示担保。某些州或司法管辖区不允许排除暗示担保,因此以上限制可能对您并不适用。
责任限制:Adobe 在任何情况下都不对下列问题负责:任何的使用损失;业务中断;或者任何形式的直接、间接、特殊、偶发或后果性损害(包括利润损失),无论是何种形式的行为造成的,无论是否在合同中规定;侵权行为(包括疏忽);严格的产品责任或其它内容。即使 Adobe 已被告知可能出现此类损害,Adobe 也不承担责任。某些州或司法管辖区不允许排除或限制偶发性或后果性损害,因此以上限制或排除事项可能对您并不适用。