Sicherheitsupdates für ColdFusion | APSB19-27
Bulletin-ID Veröffentlichungsdatum Priorität
APSB19-27 11. Juni 2019 2

Zusammenfassung

Adobe hat Sicherheits-Updates für ColdFusion, Version 2018, 2016 und 11, veröffentlicht. Diese Updates schließen drei kritische Sicherheitslücken, die die willkürliche Ausführung von Code ermöglichen könnten.

Betroffene Versionen

Produkt Betroffene Versionen Plattform
ColdFusion 2018 Update 3 und ältere Versionen Alle
ColdFusion 2016 Update 10 und ältere Versionen Alle
ColdFusion 11 Update 18 und ältere Versionen Alle

Lösung

Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:

Produkt Aktualisierte Version Plattform Priorität Verfügbarkeit
ColdFusion 2018 Update 4 Alle 1 Technischer Hinweis
ColdFusion 2016  Update 11 Alle 1 Technischer Hinweis
ColdFusion 11 Update 19 Alle
1 Technischer Hinweis

HINWEIS:   

Die in den obigen technischen Hinweisen beschriebenen Sicherheits-Updates erfordern JDK 8u121 oder höher (für ColdFusion 2016) und JDK 7u131 oder JDK 8u121 (für ColdFusion 11). Adobe empfiehlt eine Aktualisierung von ColdFusion JDK/JRE auf die neueste Version. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt.  Weitere Einzelheiten finden Sie in den technischen Hinweisen.

Adobe empfiehlt, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummern
Umgehung von Blacklists für Dateierweiterungen Willkürliche Ausführung von Code Kritisch (siehe Hinweis unten)  CVE-2019-7838
Befehlseinschleusung Willkürliche Ausführung von Code Kritisch (siehe Hinweis unten) CVE-2019-7839
Deserialisierung nicht vertrauenswürdiger Daten Willkürliche Ausführung von Code Kritisch (siehe Hinweis unten) CVE-2019-7840

Anmerkungen: 

  • CVE-2019-7838: Diese Sicherheitslücke kann nur dann erkannt werden, wenn das Verzeichnis für den Datei-Upload über das Internet zugänglich ist.   

  • CVE -2019-7839: Diese Sicherheitslücke hat keine Auswirkung auf ColdFusion 11.  

  • CVE -2019-7840: Weitere Informationen zur Abschwächung dieser Sicherheitslücke finden Sie im technischen Hinweis für die ColdFusion-Version.

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Fehlerhafter Code vom Knownsec 404-Team (CVE -2019-7838)

  • Moritz Bechler (SySS GmbH) (CVE-2019-7839) 

  • Brenden Meeder von Booz Allen Hamilton (CVE-2019-7840)

ColdFusion JDK-Anforderung

COLDFUSION 2018 HF1 und höher

Für Anwendungsserver

Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.

Beispiel:

Apache Tomcat Application Server: Bearbeiten Sie die JAVA_OPTS in der Datei „Catalina.bat/sh“

WebLogic Application Server:  Bearbeiten Sie die JAVA_OPTIONS in der Datei „startWeblogic.cmd“

WildFly/EAP Application Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.

COLDFUSION 2016 HF7 und höher

Dieses Sicherheits-Update erfordert für ColdFusion JDK 8u121 oder höher.   Adobe empfiehlt, ein manuelles Update von ColdFusion JDK/JRE auf die aktuelle Version vorzunehmen. Wenn Sie kein Update von JDK/JRE vornehmen, ist der Server durch einfaches Anwenden des Updates NICHT sicher. 

Für Anwendungsserver

Setzen Sie in JEE-Installationen zusätzlich das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.  

Beispiel:          

Bearbeiten Sie auf einem Apache Tomcat Application Server die JAVA_OPTS in der Datei „Catalina.bat/sh“          

Bearbeiten Sie auf einem WebLogic Application Server die JAVA_OPTIONS in der Datei „startWeblogic.cmd“          

Bearbeiten Sie auf einem WildFly/EAP Application Server die JAVA_OPTS in der Datei „standalone.conf“  

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation

COLDFUSION 11 HF15 und höher

Dieses Sicherheits-Update erfordert für ColdFusion JDK 7u131 oder JDK 8u121 oder höher.   Adobe empfiehlt, ein manuelles Update von ColdFusion JDK/JRE auf die aktuelle Version vorzunehmen. Wenn Sie kein Update von JDK/JRE vornehmen, ist der Server durch einfaches Anwenden des Updates NICHT sicher.

Für Anwendungsserver

Setzen Sie in J2EE-Installationen zusätzlich das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.  

Beispiel:  

Bearbeiten Sie auf einem Apache Tomcat Application Server die JAVA_OPTS in der Datei „Catalina.bat/sh“          

Bearbeiten Sie auf einem WebLogic Application Server die JAVA_OPTIONS in der Datei „startWeblogic.cmd“          

Bearbeiten Sie auf einem WildFly/EAP Application Server die JAVA_OPTS in der Datei „standalone.conf“  

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation

Adobe-Haftungsausschluss

Lizenzvereinbarung

Durch die Nutzung der Software von Adobe Incorporated oder seiner Tochtergesellschaften („Adobe“) erklären Sie sich mit den im Folgenden genannten Nutzungsbedingungen einverstanden. Setzen Sie die Software nicht ein, wenn Sie die Vertragsbedingungen nicht akzeptieren. Falls beim Download oder der Installation einer Programmdatei eine Lizenzvereinbarung für Endanwender mitgeliefert wurde, ersetzt diese die nachfolgend aufgeführten Nutzungsbedingungen.

Die Ausfuhr und Wiederausfuhr von Adobe-Software-Produkten unterliegen den United States Export Administration Regulations (Exportbestimmungen der Vereinigten Staaten). Die Software darf nicht in die folgenden Länder ausgeführt oder wiederausgeführt werden: Kuba, Iran, Nordkorea, Syrien und die Krim-Region der Ukraine oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Darüber hinaus darf Adobe-Software nicht an Personen weitergegeben werden, die in folgenden Dokumenten geführt werden: Table of Denial Orders, Entity List, List of Specially Designated Nationals. 

Wenn Sie ein Adobe-Software-Produkt herunterladen, erklären Sie damit, dass Sie kein Staatsangehöriger eines der folgenden Länder sind: Kuba, Iran, Nordkorea, Syrien und der Krim-Region der Ukraine oder eines anderen Landes, für das ein Handelsembargo der Vereinigten Staaten besteht. Sie erklären außerdem, dass Ihr Name nicht in den folgenden Dokumenten geführt wird: Table of Denial Orders, Entity List, List of Specially Designated Nationals. Wenn die Software zum gemeinsamen Einsatz mit einer Software-Anwendung („Host-Anwendung“) von Adobe konzipiert wurde, gewährt Ihnen Adobe eine nicht-exklusive Lizenz zur ausschließlichen Verwendung der Software gemeinsam mit der Host-Anwendung, vorausgesetzt, Sie besitzen eine gültige Lizenz von Adobe für die Host-Anwendung. Mit Ausnahme der im Folgenden genannten Fälle unterliegt die Lizenzierung dieser Software den Bedingungen der Adobe-Lizenzvereinbarung für Endanwender, die die Nutzung der Host-Anwendung regelt.

HAFTUNGSSAUSSCHLUSS: SIE BESTÄTIGEN, DASS ADOBE IHNEN HINSICHTLICH DER SOFTWARE KEINE SPEZIELLE ZUSICHERUNG GEMACHT HAT UND DIE SOFTWARE IHNEN IM VORLIEGENDEN ZUSTAND ZUR VERFÜGUNG GESTELLT WIRD. ADOBE SCHLIESST JEGLICHE GARANTIEGEWÄHRLEISTUNG IHNEN GEGENÜBER AUS. ADOBE GEWÄHRT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER NATUR, HINSICHTLICH MARKTGÄNGIGKEIT, BRAUCHBARKEIT FÜR EINEN BESTIMMTEN ZWECK, MARKTÜBLICHER QUALITÄT ODER NICHTVERLETZUNG VON VERTRÄGEN MIT DRITTEN. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss für stillschweigende Gewährleistungen nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.

HAFTUNGSBESCHRÄNKUNG: ADOBE ÜBERNIMMT KEINE HAFTUNG FÜR NICHTEINSETZBARKEIT, DIE UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT ODER ANDERE VERLUSTE JEGLICHER ART INFOLGE VON DIREKTEN, INDIREKTEN, ZUFÄLLIGEN ODER BESONDEREN FOLGESCHÄDEN (EINSCHLIESSLICH ENTGANGENER GEWINNE), UNABHÄNGIG DAVON, WELCHE AKTIONEN GETÄTIGT WURDEN UND OB ES SICH UM EINE VERTRAGS- UND LIZENZGEMÄSSE ODER UNERLAUBTE NUTZUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT) HANDELTE, SELBST WENN ADOBE AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss oder eine Haftungsbeschränkung für zufällige oder Folgeschäden nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.