Sikkerhedsopdateringer til ColdFusion | APSB19-27
Bulletin-ID Udgivelsesdato Prioritet
APSB19-27 11. juni 2019 2

Resumé

Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2018 og 11.Disse opdateringer løser kritiske sikkerhedsproblemer, som kan medføre vilkårlig kodekørsel.

Berørte versioner

Produkt Berørte versioner Platform
ColdFusion 2018 Opdatering 3 og tidligere versioner Alle
ColdFusion 2016 Opdatering 10 og tidligere versioner Alle
ColdFusion 11 Opdatering 18 og tidligere versioner Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Opdateret version Platform Prioritetsgrad Tilgængelighed
ColdFusion 2018 Opdatering 4 Alle 1 Teknisk note
ColdFusion 2016  Opdatering 11 Alle 1 Teknisk note
ColdFusion 11 Opdatering 19 Alle
1 Teknisk note

BEMÆRK:   

De sikkerhedsopdateringer, der henvises til i ovennævnte tekniske noter, kræver JDK 8u121 eller nyere (til ColdFusion 2016) og JDK 7u131 eller JDK 8u121 (til ColdFusion 11). Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den nyeste version. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.  Se de de relevante tekniske noter for yderligere oplysninger.

Adobe anbefaler, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Lockdown-vejledninger.

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-numre
Tilsidesættelse af filtypenavn-blackliste Vilkårlig kodekørsel Kritisk (se note nedenfor)  CVE-2019-7838
Kommandoinjektion Vilkårlig kodekørsel Kritisk (se note nedenfor)  CVE-2019-7839
Deserialisering af data, der ikke er tillid til Vilkårlig kodekørsel Kritisk (se note nedenfor) CVE-2019-7840

Noter: 

  • CVE-2019-7838: Dette sikkerhedsproblem kan kun udnyttes, hvis filoverførselsbiblioteket har adgang til internettet.   

  • CVE-2019-7839: Dette sikkerhedsproblem påvirker ikke ColdFusion 11.  

  • CVE-2019-7840: Se den tekniske note for den pågældende ColdFusion-version for at få yderligere oplysninger om afhjælpning af dette sikkerhedsproblem.

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere disse relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Badcode fra Knownsec 404 Team (CVE-2019-7838)

  • Moritz Bechler (SySS GmbH) (CVE-2019-7839) 

  • Brenden Meeder fra Booz Allen Hamilton (CVE-2019-7840)

ColdFusion JDK-krav

COLDFUSION 2018 HF1 og nyere

Til applikationsservere

Følgende JVM-flag skal indstilles på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.

F.eks.:

På en Apache Tomcat-applikationsserver: rediger JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: rediger JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: rediger JAVA_OPTS i filen ‘standalone.conf’

Indstil JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.

COLDFUSION 2016 HF7 og nyere

Denne sikkerhedsopdatering kræver, at ColdFusion skal være på JDK 8u121 eller nyere.   Adobe anbefaler, at du manuelt opdaterer din ColdFusion JDK/JRE til den nyeste version. Hvis du ikke opdaterer JDK/JRE, vil implementering af opdateringen IKKE sikre serveren. 

Til applikationsservere

Desuden skal følgende JVM-flag indstilles på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.  

Eksempel:          

På en Apache Tomcat-applikationsserver skal JAVA_OPTS redigeres i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver skal JAVA_OPTIONS redigeres i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver skal JAVA_OPTS redigeres i filen ‘standalone.conf’

Indstil JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation

COLDFUSION 11 HF15 og nyere

Denne sikkerhedsopdatering kræver, at ColdFusion skal være på JDK 7u131 eller JDK 8u121 eller nyere.   Adobe anbefaler, at du manuelt opdaterer din ColdFusion JDK/JRE til den nyeste version. Hvis du ikke opdaterer JDK/JRE, vil implementering af opdateringen IKKE sikre serveren.

Til applikationsservere

Desuden skal følgende JVM-flag indstilles på J2EE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.  

Eksempel:  

På en Apache Tomcat-applikationsserver skal JAVA_OPTS redigeres i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver skal JAVA_OPTIONS redigeres i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver skal JAVA_OPTS redigeres i filen ‘standalone.conf’

Indstil JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation

Adobes ansvarsfraskrivelse

Licensaftale

Når du bruger software fra Adobe Incorporated eller et af dets datterselskaber ("Adobe"), accepterer du følgende vilkår og betingelser. Hvis du ikke accepterer disse vilkår og betingelser, skal du ikke bruge softwaren. Betingelserne i en slutbrugerlicensaftale, der følger med en bestemt softwarefil ved installation eller overførsel af softwaren, erstatter de betingelser, der er anført nedenfor.

Eksport og reeksport af Adobe-softwareprodukter er reguleret af amerikanske eksportadministrationsregler, og en sådan form for software må ikke eksporteres eller reeksporteres til Cuba, Iran, Nordkorea, Syrien eller den ukrainske Krim-region eller andre lande, som USA har indført handelsembargo mod. Desuden må Adobe-software ikke distribueres til personer, der er opført på Table of Denial Orders, Entity List eller List of Specially Designated Nationals. 

Når du henter eller bruger et Adobe-softwareprodukt bekræfter du, at du ikke er statsborger i Cuba, Iran, Nordkorea, Syrien eller den ukrainske Krim-region eller andre lande, som USA har indført handelsembargo mod, og at du ikke står opført på Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Hvis softwaren er udviklet til brug sammen med et applikationssoftwareprodukt ("Værtsapplikation"), som er udgivet af Adobe; tildeler Adobe dig en ikke-eksklusiv licens til udelukkende at bruge sådan software sammen med værtsapplikationen, forudsat at du har en gyldig licens til værtsapplikationen fra Adobe. Med undtagelse af hvad der er anført nedenfor, gives licens til sådan software til dig med forbehold for de vilkår og betingelser, der findes i slutbrugerlicensaftalen fra Adobe, som styrer din brug af værtsapplikationen.

ANSVARSFRASKRIVELSE: DE ACCEPTERER, AT ADOBE IKKE HAR GIVET NOGEN UDTRYKKELIG GARANTI TIL DEM ANGÅENDE SOFTWAREN, OG AT SOFTWAREN LEVERES TIL DEM "SOM DEN ER OG FOREFINDES" UDEN NOGEN FORM FOR GARANTI. ADOBE FRASKRIVER SIG ALLE GARANTIER MED HENSYN TIL SOFTWAREN, BÅDE UDTRYKKELIGE ELLER STILTIENDE, INKLUSIVE OG UDEN BEGRÆNSNING EVENTUELLE STILTIENDE GARANTIER OM EGNETHED TIL ET BESTEMT FORMÅL, SALGBARHED, SALGBAR KVALITET ELLER IKKE-KRÆNKELSE AF TREDJEMANDS RETTIGHEDER. Nogle lande eller jurisdiktioner tillader ikke udelukkelse af stiltiende garantier, hvorfor ovenstående begrænsninger muligvis ikke gælder for dig.

BEGRÆNSNING AF ANSVAR: ADOBE PÅTAGER SIG UNDER INGEN OMSTÆNDIGHEDER ERSTATNINGSANSVAR OVER FOR DEM FOR NOGEN FORM FOR TAB AF BRUG, FORRETNINGSFORSTYRRELSE ELLER NOGEN DIREKTE SKADE, INDIREKTE SKADE, SÆRLIG SKADE, TILFÆLDIG SKADE ELLER FØLGESKADE AF NOGEN ART (INKLUSIVE TAB AF FORTJENESTE), UANSET FORM, HVERKEN SOM FØLGE AF KONTRAKT, UDEN FOR KONTRAKT (HERUNDER FORSØMMELIGHED), OBJEKTIVT PRODUKTANSVAR ELLER PÅ ANDEN MÅDE, HELLER IKKE SELVOM ADOBE ER BLEVET UNDERRETTET OM MULIGHEDEN FOR SÅDANNE SKADER. Nogle lande eller jurisdiktioner tillader ikke udelukkelse eller begrænsning af ansvar for tilfældige skader eller følgeskader, hvorfor ovenstående begrænsning muligvis ikke gælder for dig.