ID bulletinu
Naposledy aktualizováno
19. 5. 2021
Zveřejnění aktualizací zabezpečení pro aplikaci ColdFusion | APSB20-16
|
|
Datum zveřejnění |
Priorita |
|
APSB20-16 |
17. března 2020 |
2 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2016 a 2018. Tyto aktualizace řeší několik kritických chyb zabezpečení, které mohly vést ke svévolnému spuštění kódu.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2016 |
Aktualizace 13 a starší verze |
Vše |
|
ColdFusion 2018 |
Aktualizace 7 a starší verze |
Vše |
Poznámka:
Tyto chyby zabezpečení nemají dopad na servery ColdFusion nasazené pomocí doporučeného instalačního programu s funkcí uzamčení.
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Hodnocení priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2016 |
Aktualizace 14 |
Vše |
2 |
|
|
ColdFusion 2018 |
Aktualizace 8 |
Vše |
2 |
Poznámka:
Společnost Adobe doporučuje aktualizovat software ColdFusion JDK/JRE na nejnovější verzi vydání LTS pro 1.8 a JDK 11. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v příslušných technických poznámkách.
Aplikační servery JEE:
Uživatelé s nasazením JEE ColdFusion (například Tomcat, JBoss EAP) mohou použít pokyny na stránce https://helpx.adobe.com/cz/coldfusion/kb/coldfusion-2018-update-8.html#jee.
ColdFusion 11
Uživatelům aplikace ColdFusion 11 se doporučuje provést kroky pro zmírnění dopadu popsané na stránce https://helpx.adobe.com/cz/coldfusion/kb/coldfusion-11-mitigation-steps.html
Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Čísla CVE |
|
Vzdálené čtení souborů |
Svévolné čtení souborů Arbitrary v instalačním adresáři aplikace Coldfusion |
Kritická |
CVE-2020-3761 |
|
Zahrnutí souborů |
Svévolné spuštění kódu souborů, které se nachází v adresáři webroot nebo v jeho podadresáři |
Kritická |
CVE-2020-3794 |
Poděkování
Požadavky prostředí ColdFusion JDK
COLDFUSION 2018 HF1 a vyšší
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Příklad:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
COLDFUSION 2016 HF7 a vyšší
Tato aktualizace zabezpečení vyžaduje, aby aplikace ColdFusion byla spuštěna v prostředí JDK 8u121 nebo novější verzi. Společnost Adobe doporučuje aktualizovat software JDK/JRE aplikace ColdFusion ručně na nejnovější verzi. Pokud software JDK/JRE neaktualizujete, pouhou instalací aktualizace server NEZABEZPEČÍTE.
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Příklad:
Na aplikačním serveru Apache Tomcat upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace
Právní sdělení společnosti Adobe
Licenční smlouva
Používáním softwaru společnosti Adobe Incorporated nebo jejích poboček („Adobe“) vyjadřujete svůj souhlas s následujícími podmínkami. Pokud s těmito podmínkami nesouhlasíte, uvedený software nepoužívejte. Podmínky licenční smlouvy s koncovým uživatelem dodané spolu s konkrétním souborem softwaru při instalaci nebo stažení daného softwaru nahrazují podmínky uvedené níže.
Export a reexport produktů společnosti Adobe se řídí předpisy Spojených států a tento software nesmí být exportován ani reexportován na Kubu, do Íránu, do Severní Koreje, do Sýrie, do Krymského regionu na Ukrajině ani do zemí, na které Spojené Státy uplatňují obchodní embargo. Software společnosti Adobe dále nesmí být distribuován osobám uvedeným v seznamu pro odmítnutí objednávek nebo osobám kategorie SDN (Specially Designated Nationals).
Stažením nebo používáním softwarového produktu společnosti Adobe stvrzujete, že nejste občany Kuby, Íránu, Severní Koreje, Sýrie, Krymského regionu na Ukrajině ani zemí, na něž Spojené Státy uplatňují obchodní embargo, a že nejste uvedeni v seznamu pro odmítnutí objednávek, seznamu subjektů (Entity List) a seznamu osob kategorie SDN (Specially Designated Nationals). Pokud je software určen pro použití s aplikačním softwarovým produktem („hostitelská aplikace“) publikovaným společností Adobe, společnost Adobe vám uděluje nevýhradní licenci k používání tohoto softwaru s hostitelskou aplikací pouze za předpokladu, že na hostitelskou aplikaci vlastníte platnou licenci od společnosti Adobe. S výjimkou uvedenou níže je vám takový software licencován na základě podmínek licenční smlouvy s koncovým uživatelem od společnosti Adobe, kterou se řídí vaše používání hostitelské aplikace.
ODMÍTNUTÍ ZÁRUK: SOUHLASÍTE S TÍM, ŽE VÁM SPOLEČNOST ADOBE NEUDĚLILA ŽÁDNÉ VÝSLOVNÉ ZÁRUKY TÝKAJÍCÍ SE SOFTWARU A ŽE VÁM BYL SOFTWARE POSKYTNUT „JAK JE“, BEZ ZÁRUKY JAKÉHOKOLIV DRUHU. SPOLEČNOST ADOBE ODMÍTÁ JAKÉKOLI ZÁRUKY TÝKAJÍCÍ SE SOFTWARU, AŤ UŽ VYJÁDŘENÉ NEBO PŘEDPOKLÁDANÉ, ZEJMÉNA PŘEDPOKLÁDANÉ ZÁRUKY VHODNOSTI PRO URČITÝ ÚČEL, OBCHODOVATELNOSTI, OBCHODOVATELNÉ KVALITY NEBO NEPORUŠENÍ PRÁV TŘETÍCH STRAN. Některé státy nebo jurisdikce nedovolují vynětí předpokládaných záruk, takže se na vás uvedená omezení nevztahují.
OMEZENÍ ODPOVĚDNOSTI: SPOLEČNOST ADOBE NEBUDE V ŽÁDNÉM PŘÍPADĚ ODPOVĚDNÁ ZA JAKOUKOLIV VAŠI ZTRÁTU MOŽNOSTI POUŽITÍ, PŘERUŠENÍ ČINNOSTI NEBO JAKÉKOLI PŘÍMÉ, NEPŘÍMÉ, ZVLÁŠTNÍ, NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY (VČETNĚ UŠLÉHO ZISKU) BEZ OHLEDU NA FORMU ŽALOBY – NA ZÁKLADĚ SMLOUVY, OBČANSKÉHO PRÁVA (VČETNĚ NEDBALOSTI), STRIKTNÍ ODPOVĚDNOSTI ZA PRODUKT ČI JINAK, A TO ANI V PŘÍPADĚ, ŽE BYLA SPOLEČNOST NA MOŽNOST TAKOVÝCH ŠKOD UPOZORNĚNA. Některé státy nebo jurisdikce nedovolují vynětí nebo omezení náhodných nebo následných škod, takže se na vás uvedená omezení nevztahují.
