某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 11 og 2016-frigivelsen. Disse opdateringer løser et vigtigt sikkerhedsproblem med usikker indlæsning af biblioteker (CVE-2018-4938), et vigtigt sikkerhedsproblem med cross-site scripting (XSS), der kan medføre kodeinjektion (CVE-2018-4940), samt et vigtigt sikkerhedsproblem med cross-site scripting (XSS), der kan medføre afsløring af oplysninger (CVE-2018-4941). Disse opdateringer indeholder også en afhjælpning af et kritisk sikkerhedsproblem med usikker Java-deserialisering (CVE-2018-4939) samt en afhjælpning af et kritisk sikkerhedsproblem med usikker analyse af XML-enheder (CVE-2018-4942).
| Produkt | Berørte versioner | Platform |
|---|---|---|
| ColdFusion (2016-frigivelse) | Opdatering 5 og tidligere versioner | Alle |
| ColdFusion 11 | Opdatering 13 og tidligere versioner | Alle |
Adobe kategoriserer denne opdatering med følgende prioritetsgrad og anbefaler, at brugerne opdaterer deres installationer til de nyeste versioner:
| Produkt | Opdateret version | Platform | Prioritetsgrad | Tilgængelighed |
|---|---|---|---|---|
| ColdFusion (2016-frigivelse) | Opdatering 6 | Alle | 2 | Teknisk note |
| ColdFusion 11 | Opdatering 14 | Alle |
2 | Teknisk note |
Bemærk:
De sikkerhedsopdateringer, der henvises til i ovennævnte tekniske noter, kræver JDK 8u121 eller nyere (til ColdFusion 2016) og JDK 7u131 eller JDK 8u121 (til ColdFusion 11). Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den nyeste version. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Se de de relevante tekniske noter for yderligere oplysninger.
Kunder skal også anvende de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt gennemlæse de relevante Lockdown-vejledninger.
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | CVE-numre |
|---|---|---|---|
| Usikker indlæsning af bibliotek | Lokal eskalering af rettigheder | Vigtig | CVE-2018-4938 |
| Deserialisering af data, der ikke er tillid til | Ekstern kodekørsel | Kritisk | CVE-2018-4939 |
| Cross-Site Scripting | Afsløring af oplysninger | Vigtig | CVE-2018-4940 |
| Cross-Site Scripting | Afsløring af oplysninger | Vigtig | CVE-2018-4941 |
| Usikker analyse af eksterne XML-enheder | Afsløring af oplysninger | Kritisk | CVE-2018-4942 |
Adobe vil gerne takke følgende personer og organisationer for at rapportere disse relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Nitesh Shilpkar (CVE-2018-4938)
- Nick Bloor fra NCC Group (CVE-2018-4939)
- Jaaziel Sam Carlos (CVE-2018-4940)
- William Eatman og Michael S. O'Dell fra USRA (CVE-2018-4941)
- Matthias Kaiser fra Code White GmbH (CVE-2018-4942)
COLDFUSION 2016 HF6
Denne sikkerhedsopdatering kræver, at ColdFusion skal være på JDK 8u121 eller nyere. Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den nyeste version. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.
Til applikationsservere
Desuden skal følgende JVM-flag indstilles på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
F.eks.:
På en Apache Tomcat-applikationsserver skal JAVA_OPTS redigeres i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver skal JAVA_OPTIONS redigeres i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver skal JAVA_OPTS redigeres i filen ‘standalone.conf’
Indstil JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 11 HF14
Denne sikkerhedsopdatering kræver, at ColdFusion skal være på JDK 7u131 eller JDK 8u121 eller nyere.
Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den nyeste version. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.
Til applikationsservere
Desuden skal følgende JVM-flag indstilles på J2EE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
F.eks.:
På en Apache Tomcat-applikationsserver skal JAVA_OPTS redigeres i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver skal JAVA_OPTIONS redigeres i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver skal JAVA_OPTS redigeres i filen ‘standalone.conf’
Indstil JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Licensaftale
Når du bruger software fra Adobe Systems Incorporated eller et af dets datterselskaber ("Adobe"), accepterer du følgende vilkår og betingelser. Hvis du ikke accepterer disse vilkår og betingelser, skal du ikke bruge softwaren. Betingelserne i en slutbrugerlicensaftale, der følger med en bestemt softwarefil ved installation eller overførsel af softwaren, erstatter de betingelser, der er anført nedenfor.
Eksport eller reeksport af Adobe-softwareprodukter styres af United States Export Administration Regulations, og sådan software må ikke eksporteres eller reeksporteres til Cuba, Iran, Irak, Libyen, Nordkorea, Sudan eller Syrien eller andre lande, som USA har pålagt en vareembargo. Desuden må Adobe-software ikke distribueres til personer, der er opført på Table of Denial Orders, Entity List eller List of Specially Designated Nationals.
Når du henter eller bruger et Adobe-softwareprodukt bekræfter du, at du ikke er født eller bosiddende i Cuba, Iran, Irak, Libyen, Nordkorea, Sudan eller Syrien eller noget andet land, som USA har pålagt vareembargo, og at du ikke står opført på Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Hvis softwaren er udviklet til brug sammen med et applikationssoftwareprodukt ("Værtsapplikation"), som er udgivet af Adobe; tildeler Adobe dig en ikke-eksklusiv licens til udelukkende at bruge sådan software sammen med værtsapplikationen, forudsat at du har en gyldig licens til værtsapplikationen fra Adobe. Med undtagelse af hvad der er anført nedenfor, gives licens til sådan software til dig med forbehold for de vilkår og betingelser, der findes i slutbrugerlicensaftalen fra Adobe, som styrer din brug af værtsapplikationen.
ANSVARSFRASKRIVELSE: DE ACCEPTERER, AT ADOBE IKKE HAR GIVET NOGEN UDTRYKKELIG GARANTI TIL DEM ANGÅENDE SOFTWAREN, OG AT SOFTWAREN LEVERES TIL DEM "SOM DEN ER OG FOREFINDES" UDEN NOGEN FORM FOR GARANTI. ADOBE FRASKRIVER SIG ALLE GARANTIER MED HENSYN TIL SOFTWAREN, BÅDE UDTRYKKELIGT ELLER STILTIENDE INKLUSIVE OG UDEN BEGRÆNSNING EVENTUELLE STILTIENDE GARANTIER OM EGNETHED TIL ET BESTEMT FORMÅL, SALGBARHED, SALGBAR KVALITET ELLER IKKE-KRÆNKELSE AF TREDJEMANDS RETTIGHEDER. Nogle stater eller retskredse tillader ikke udelukkelse af stiltiende garantier, og ovenstående begrænsninger gælder derfor muligvis ikke for dig.
BEGRÆNSNING AF ANSVAR: ADOBE PÅTAGER SIG UNDER INGEN OMSTÆNDIGHEDER ERSTATNINGSANSVAR OVER FOR DEM FOR NOGEN FORM FOR TAB AF BRUG, FORRETNINGSFORSTYRRELSE ELLER NOGEN DIREKTE SKADE, INDIREKTE SKADE, SÆRLIG SKADE, TILFÆLDIG SKADE ELLER FØLGESKADE AF NOGEN ART (INKLUSIVE TAB AF FORTJENESTE), UANSET FORM, HVERKEN SOM FØLGE AF KONTRAKT, UDEN FOR KONTRAKT (HERUNDER FORSØMMELIGHED), OBJEKTIVT PRODUKTANSVAR ELLER PÅ ANDEN MÅDE, HELLER IKKE SELVOM ADOBE ER BLEVET UNDERRETTET OM MULIGHEDEN FOR SÅDANNE SKADER. Nogle stater eller retskredse tillader ikke udelukkelse eller begrænsning af ansvar for tilfældige skader eller følgeskader, hvorfor ovenstående begrænsning muligvis ikke gælder for dig.