Zveřejnění aktualizací zabezpečení pro aplikaci ColdFusion | APSB18-14
ID bulletinu Datum zveřejnění Priorita
APSB18-14 10. dubna 2018 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 11 a vydání 2016. Tato aktualizace vyřeší zranitelnost v podobě nezabezpečeného načítání knihovny (CVE-2018-4938) kategorie důležité, zranitelnost cross-site scripting (CVE-2018-4940) kategorie důležité, která může vést k injektáži kódu, a zranitelnost cross-site scripting (CVE-2018-4941) kategorie důležité, která může vést k odtajnění informací. Tato aktualizace vyřeší rovněž zranitelnost v podobě nezabezpečené deserializace v prostředí Java (CVE-2018-4939) kategorie kritické a zranitelnost v podobě nezabezpečené analýzy souboru XML (CVE-2018-4942) kategorie kritické.

Postižené verze

Produkt Postižené verze Platforma
ColdFusion (vydání 2016) Aktualizace 5 a starší verze Vše
ColdFusion 11 Aktualizace 13 a starší verze Vše

Řešení

Společnost Adobe označila tuto aktualizaci následujícím hodnocením priority a doporučuje uživatelům, aby si nainstalovali nejnovější verzi:

Produkt Aktualizovaná verze Platforma Hodnocení priority Dostupnost
ColdFusion (vydání 2016) Aktualizace 6 Vše 2 Technická poznámka
ColdFusion 11 Aktualizace 14 Vše
2 Technická poznámka

Poznámka:

Aktualizace zabezpečení ve výše uvedených technických poznámkách vyžadují prostředí JDK 8u121 nebo vyšší verze (pro ColdFusion 2016) a prostředí JDK 7u131 nebo JDK 8u121 (pro ColdFusion 11). Společnost Adobe doporučuje aktualizaci prostředí ColdFusion JDK/JRE na nejnovější verzi. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v technických poznámkách.

Zákazníci by měli použít také nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečíst informace v příslušné příručce Lockdown.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Nezabezpečené načtení knihovny Eskalace místních práv Důležitá CVE-2018-4938
Deserializace nedůvěryhodných dat Vzdálené spuštění kódu Kritická CVE-2018-4939
Cross-site scripting Neoprávněné zveřejnění informací Důležité CVE-2018-4940
Cross-site scripting Neoprávněné zveřejnění informací Důležité CVE-2018-4941
Nezabezpečené zpracování externí entity XML Neoprávněné zveřejnění informací Kritická CVE-2018-4942

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor ze skupiny NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman a Michael S. O'Dell z organizace USRA (CVE-2018-4941)
  • Matthias Kaiser ze společnosti Code White GmbH (CVE-2018-4942)

Požadavky prostředí ColdFusion JDK

COLDFUSION 2016 HF6

Tato aktualizace zabezpečení vyžaduje, aby aplikace ColdFusion byla spuštěna v prostředí JDK 8u121 nebo novější verzi. Společnost Adobe doporučuje aktualizaci prostředí ColdFusion JDK/JRE na nejnovější verzi. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ.

Pro aplikační servery

Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.

Příklad:

Na aplikačním serveru Apache Tomcat upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.

Na aplikačním serveru WebLogic upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.

Na aplikačním serveru WildFly/EAP upravte parametr JAVA_OPTS v souboru „standalone.conf“.

Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.

COLDFUSION 11 HF14

Tato aktualizace zabezpečení vyžaduje, aby aplikace ColdFusion byla spuštěna v prostředí JDK 7u131 nebo JDK 8u121 nebo na novější verzi.

Společnost Adobe doporučuje aktualizaci prostředí ColdFusion JDK/JRE na nejnovější verzi. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ.

Pro aplikační servery

Kromě toho je nutné u instalací J2EE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.

Příklad:

Na aplikačním serveru Apache Tomcat upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.

Na aplikačním serveru WebLogic upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.

Na aplikačním serveru WildFly/EAP upravte parametr JAVA_OPTS v souboru „standalone.conf“.

Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.

Právní sdělení společnosti Adobe

Licenční smlouva

Používáním softwaru společnosti Adobe Systems Incorporated nebo jejích poboček („Adobe“) vyjadřujete svůj souhlas s následujícími podmínkami. Pokud s těmito podmínkami nesouhlasíte, uvedený software nepoužívejte. Podmínky licenční smlouvy s koncovým uživatelem dodané spolu s konkrétním souborem softwaru při instalaci nebo stažení daného softwaru nahrazují podmínky uvedené níže.

Export a reexport produktů společnosti Adobe se řídí předpisy Spojených států a tento software nesmí být exportován ani reexportován na Kubu, do Íránu, Iráku, Libye, Severní Koreje, Súdánu a Sýrie a do zemí, na které Spojené Státy uplatňují obchodní embargo. Software společnosti Adobe dále nesmí být distribuován osobám uvedeným v seznamu pro odmítnutí objednávek nebo osobám kategorie SDN (Specially Designated Nationals).

Stažením nebo používáním softwarového produktu společnosti Adobe stvrzujete, že nejste občany Kuby, Íránu, Iráku, Libye, Severní Koreje, Súdánu ani Sýrie nebo zemí, na něž Spojené Státy uplatňují obchodní embargo, a nejste uvedeni v seznamu pro odmítnutí objednávek, seznamu subjektů (Entity List) a seznamu osob kategorie SDN (Specially Designated Nationals). Pokud je software určen pro použití s aplikačním softwarovým produktem („hostitelská aplikace“) publikovaným společností Adobe, společnost Adobe vám uděluje nevýhradní licenci k používání tohoto softwaru s hostitelskou aplikací pouze za předpokladu, že na hostitelskou aplikaci vlastníte platnou licenci od společnosti Adobe. S výjimkou uvedenou níže je vám takový software licencován na základě podmínek licenční smlouvy s koncovým uživatelem od společnosti Adobe, kterou se řídí vaše používání hostitelské aplikace.

ODMÍTNUTÍ ZÁRUK: SOUHLASÍTE S TÍM, ŽE VÁM SPOLEČNOST ADOBE NEUDĚLILA ŽÁDNÉ VÝSLOVNÉ ZÁRUKY TÝKAJÍCÍ SE SOFTWARU A ŽE VÁM BYL SOFTWARE POSKYTNUT „JAK JE“, BEZ ZÁRUKY JAKÉHOKOLIV DRUHU. SPOLEČNOST ADOBE ODMÍTÁ JAKÉKOLI ZÁRUKY TÝKAJÍCÍ SE SOFTWARU, AŤ UŽ VYJÁDŘENÉ NEBO PŘEDPOKLÁDANÉ, ZEJMÉNA PŘEDPOKLÁDANÉ ZÁRUKY VHODNOSTI PRO URČITÝ ÚČEL, OBCHODOVATELNOSTI, OBCHODOVATELNÉ KVALITY NEBO NEPORUŠENÍ PRÁV TŘETÍCH STRAN. Některé státy nebo jurisdikce nedovolují vyloučení předpokládaných záruk, proto se na vás uvedená omezení nemusejí vztahovat.

OMEZENÍ ODPOVĚDNOSTI: SPOLEČNOST ADOBE NEBUDE V ŽÁDNÉM PŘÍPADĚ ODPOVĚDNÁ ZA JAKOUKOLIV VAŠI ZTRÁTU MOŽNOSTI POUŽITÍ, PŘERUŠENÍ ČINNOSTI NEBO JAKÉKOLI PŘÍMÉ, NEPŘÍMÉ, ZVLÁŠTNÍ, NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY (VČETNĚ UŠLÉHO ZISKU) BEZ OHLEDU NA FORMU ŽALOBY – NA ZÁKLADĚ SMLOUVY, OBČANSKÉHO PRÁVA (VČETNĚ NEDBALOSTI), STRIKTNÍ ODPOVĚDNOSTI ZA PRODUKT ČI JINAK, A TO ANI V PŘÍPADĚ, ŽE BYLA SPOLEČNOST NA MOŽNOST TAKOVÝCH ŠKOD UPOZORNĚNA. Některé státy nebo jurisdikce nedovolují vyloučení nebo omezení náhodných nebo následných škod, proto se na vás uvedená omezení nemusejí vztahovat.