Bezpečnostní aktualizace: Jsou dostupné opravy hotfix pro aplikaci ColdFusion

Datum vydání: 14. října 2014

Identifikátor chyby zabezpečení: APSB14-23

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-0570, CVE-2014-0571, CVE-2014-0572

Platforma: Všechny platformy

Shrnutí

Společnost Adobe vydala bezpečnostní opravy hotfix pro aplikaci ColdFusion verze 11, 10, 9.0.2, 9.0.1 a 9.0 určené pro všechny platformy.  Tyto opravy hotfix jsou zaměřeny na potíže s bezpečnostním oprávněním, které lze zneužít neoprávněným místním uživatelem. Ten by mohl obejít omezení přístupu z adres IP nastavených správcem aplikace ColdFusion.  Tyto opravy hotfix také řeší potíže s chybou zabezpečení umožňující falšování skriptů odesílaných/vyžadovaných mezi weby. 

Dotčené verze softwaru

ColdFusion 11, 10, 9.0.2, 9.0.1 a 9.0 pro všechny platformy. 

Řešení

Společnost Adobe doporučuje zákazníkům s produktem ColdFusion aktualizovat jejich instalaci za použití pokynů v technických poznámkách, které se nachází zde: http://helpx.adobe.com/cz/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html

Zákazníci by měli použít také nastavení konfigurace zabezpečení popsané na stránce o zabezpečení aplikace ColdFusion a také přečíst informace v těchto příručkách: ColdFusion 11 Lockdown, ColdFusion 10 LockdownColdFusion 9 Lockdown.

Priorita a závažnost

 Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Verze aplikace ColdFusion Verze opravy hotfix Platforma Hodnocení priority
11 Aktualizace 2 Vše
2
10 Aktualizace 14 Vše 2
9.0.2 Aktualizace 7 Vše
2
9.0.1 Aktualizace 12 Vše
2
9.0
Aktualizace 13 Vše
2

Tyto aktualizace řeší důležité chyby zabezpečení v softwaru.

Podrobnosti

Společnost Adobe vydala bezpečnostní opravy hotfix pro aplikaci ColdFusion verze 11, 10, 9.0.2, 9.0.1 a 9.0 určené pro všechny platformy.  

Tyto opravy hotfix řeší potíže s chybou zabezpečení umožňující falšování skriptů vyžadovaných mezi weby (CVE-2014-0570).

Tyto opravy hotfix řeší potíže s chybou zabezpečení umožňující falšování skriptů mezi weby (CVE-2014-0571).

Tyto opravy hotfix jsou zaměřeny na potíže s bezpečnostním oprávněním, které lze zneužít neoprávněným místním uživatelem. Ten by mohl obejít omezení přístupu z adres IP (CVE-2014-0572).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Craig Young ze společnosti Tripwire VERT (CVE-2014-0570)
  • Petovi Freitagovi ze společnosti Foundeo Inc. (CVE-2014-0571)
  • Aaron Foote (CVE-2014-0572)

Právní sdělení společnosti Adobe

Licenční smlouva

Používáním softwaru společnosti Adobe Systems Incorporated nebo jejích poboček („Adobe“) vyjadřujete svůj souhlas s následujícími podmínkami. Pokud s těmito podmínkami nesouhlasíte, uvedený software nepoužívejte. Podmínky licenční smlouvy s koncovým uživatelem dodané spolu s konkrétním souborem softwaru při instalaci nebo stažení daného softwaru nahrazují podmínky uvedené níže.

Export a reexport produktů společnosti Adobe se řídí předpisy Spojených států a tento software nesmí být exportován ani reexportován na Kubu, do Íránu, Iráku, Libye, Severní Koreje, Súdánu a Sýrie a do zemí, na které Spojené Státy uplatňují obchodní embargo. Software společnosti Adobe dále nesmí být distribuován osobám uvedeným v seznamu pro odmítnutí objednávek nebo osobám kategorie SDN (Specially Designated Nationals).

Stažením nebo používáním softwarového produktu společnosti Adobe stvrzujete, že nejste občany Kuby, Íránu, Iráku, Libye, Severní Koreje, Súdánu ani Sýrie nebo zemí, na něž Spojené Státy uplatňují obchodní embargo, a nejste uvedeni v seznamu pro odmítnutí objednávek, seznamu subjektů (Entity List) a seznamu osob kategorie SDN (Specially Designated Nationals). Pokud je software určen pro použití s aplikačním softwarovým produktem („hostitelská aplikace“) publikovaným společností Adobe, společnost Adobe vám uděluje nevýhradní licenci k používání tohoto softwaru s hostitelskou aplikací pouze za předpokladu, že na hostitelskou aplikaci vlastníte platnou licenci od společnosti Adobe. S výjimkou uvedenou níže je vám takový software licencován na základě podmínek licenční smlouvy s koncovým uživatelem od společnosti Adobe, kterou se řídí vaše používání hostitelské aplikace.

ODMÍTNUTÍ ZÁRUK: SOUHLASÍTE S TÍM, ŽE VÁM SPOLEČNOST ADOBE NEUDĚLILA ŽÁDNÉ VÝSLOVNÉ ZÁRUKY TÝKAJÍCÍ SE SOFTWARU A ŽE VÁM BYL SOFTWARE POSKYTNUT „JAK JE“, BEZ ZÁRUKY JAKÉHOKOLIV DRUHU. SPOLEČNOST ADOBE ODMÍTÁ JAKÉKOLI ZÁRUKY TÝKAJÍCÍ SE SOFTWARU, AŤ UŽ VYJÁDŘENÉ NEBO PŘEDPOKLÁDANÉ, ZEJMÉNA PŘEDPOKLÁDANÉ ZÁRUKY VHODNOSTI PRO URČITÝ ÚČEL, OBCHODOVATELNOSTI, OBCHODOVATELNÉ KVALITY NEBO NEPORUŠENÍ PRÁV TŘETÍCH STRAN. Některé státy nebo jurisdikce nedovolují vyloučení předpokládaných záruk, proto se na vás uvedená omezení nemusejí vztahovat.

OMEZENÍ ODPOVĚDNOSTI: SPOLEČNOST ADOBE NEBUDE V ŽÁDNÉM PŘÍPADĚ ODPOVĚDNÁ ZA JAKOUKOLIV VAŠI ZTRÁTU MOŽNOSTI POUŽITÍ, PŘERUŠENÍ ČINNOSTI NEBO JAKÉKOLI PŘÍMÉ, NEPŘÍMÉ, ZVLÁŠTNÍ, NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY (VČETNĚ UŠLÉHO ZISKU) BEZ OHLEDU NA FORMU ŽALOBY – NA ZÁKLADĚ SMLOUVY, OBČANSKÉHO PRÁVA (VČETNĚ NEDBALOSTI), STRIKTNÍ ODPOVĚDNOSTI ZA PRODUKT ČI JINAK, A TO ANI V PŘÍPADĚ, ŽE BYLA SPOLEČNOST NA MOŽNOST TAKOVÝCH ŠKOD UPOZORNĚNA. Některé státy nebo jurisdikce nedovolují vyloučení nebo omezení náhodných nebo následných škod, proto se na vás uvedená omezení nemusejí vztahovat.