Bulletin-ID
Sidst opdateret den
27. okt. 2021
Sikkerhedsopdateringer til Adobe ColdFusion | APSB21-75
|
|
Udgivelsesdato |
Prioritet |
|
APSB21-75 |
14. september 2021 |
2 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2021 og 2018.Disse opdateringer løser flere kritiske sikkerhedsproblemer, som kan medføre sikkerhedsomgåelse.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2018 |
Opdatering 11 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Version 1 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgraderog anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2018 |
Opdatering 12 |
Alle |
2 |
|
|
ColdFusion 2021 |
Opdatering 2 |
Alle |
2 |
Bemærk:
Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den seneste version af LTS til 1.8 og JDK 11. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Se de de relevante tekniske noter for yderligere oplysninger.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
|
|
CVE-numre |
|
Brug af en funktion, der muligvis er farlig at anvende (CWE-242) |
Sikkerhedsomgåelse |
Kritisk |
7.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2021-40698 |
|
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Kritisk |
7.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L |
CVE-2021-40699 |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Brian Reilly (CVE-2021-40699)
- Rockwell, Edward J (CVE-2021-40698)
ColdFusion JDK-krav
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Adobes ansvarsfraskrivelse
Licensaftale
Når du bruger software fra Adobe Incorporated eller et af dets datterselskaber ("Adobe"), accepterer du følgende vilkår og betingelser. Hvis du ikke accepterer disse vilkår og betingelser, skal du ikke bruge softwaren. Betingelserne i en slutbrugerlicensaftale, der følger med en bestemt softwarefil ved installation eller overførsel af softwaren, erstatter de betingelser, der er anført nedenfor.
Eksport og reeksport af Adobe-softwareprodukter er reguleret af USAs eksportadministrationsregler, og en sådan form for software må ikke eksporteres eller reeksporteres til Cuba, Iran, Nordkorea, Syrien eller den ukrainske Krim-region eller andre lande, som USA har indført handelsembargo imod. Desuden må Adobe-software ikke distribueres til personer, der står opført på en udelukkelsesliste, virksomhedsliste eller liste over specielt udpegede nationalborgere.
Når du henter eller bruger et Adobe-softwareprodukt bekræfter du, at du ikke er statsborger i Cuba, Iran, Nordkorea, Syrien eller den ukrainske Krim-region eller andre lande, som USA har indført handelsembargo imod, og at du ikke står opført på hverken udelukkelseslisten, virksomhedslisten eller listen over specielt udpegede nationalstatsborgere. Hvis softwaren er udviklet til brug sammen med et applikationssoftwareprodukt ("Værtsapplikation"), som er udgivet af Adobe, tildeler Adobe dig en ikke-eksklusiv licens til udelukkende at bruge en sådan software sammen med værtsapplikationen, forudsat at du har en gyldig licens fra Adobe til værtsapplikationen. Med undtagelse af, hvad der er anført nedenfor, får du udleveret licensen til en sådan software med forbehold for de slutbrugervilkår og -betingelser, der indgår i slutbrugerlicensaftalen fra Adobe, som styrer din brug af værtsapplikationen.
ANSVARSFRASKRIVELSE: DU ACCEPTERER, AT ADOBE IKKE HAR GIVET NOGEN UDTRYKKELIG GARANTI TIL DIG ANGÅENDE SOFTWAREN, OG AT SOFTWAREN LEVERES TIL DIG "SOM DEN ER OG FOREFINDES" UDEN NOGEN FORM FOR GARANTI. ADOBE FRASKRIVER SIG ALLE GARANTIER MED HENSYN TIL SOFTWAREN, BÅDE UDTRYKKELIGE ELLER STILTIENDE, INKLUSIVE OG UDEN BEGRÆNSNING EVENTUELLE STILTIENDE GARANTIER OM EGNETHED TIL ET BESTEMT FORMÅL SÅSOM SALGBARHED, SALGBAR KVALITET ELLER IKKE-KRÆNKELSE AF TREDJEPERSONS RETTIGHEDER. Nogle lande eller jurisdiktioner tillader ikke udelukkelse af stiltiende garantier, hvorfor ovenstående begrænsninger muligvis ikke gælder for dig.
BEGRÆNSNING AF ANSVAR: ADOBE PÅTAGER SIG UNDER INGEN OMSTÆNDIGHEDER ERSTATNINGSANSVAR OVER FOR DIG FOR NOGEN FORM FOR TAB AF BRUG, FORRETNINGSAFBRYDELSE ELLER NOGEN DIREKTE SKADE, INDIREKTE SKADE, SÆRLIG SKADE, TILFÆLDIG SKADE ELLER FØLGESKADE AF NOGEN ART (INKLUSIVE TAB AF FORTJENESTE), UANSET FORM, HVERKEN SOM FØLGE AF KONTRAKT, UDEN FOR KONTRAKT (HERUNDER FORSØMMELIGHED), OBJEKTIVT PRODUKTANSVAR ELLER PÅ ANDEN MÅDE, HELLER IKKE SELVOM ADOBE ER BLEVET UNDERRETTET OM MULIGHEDEN FOR SÅDANNE SKADER. Nogle lande eller jurisdiktioner tillader ikke udelukkelse eller begrænsning af ansvar for tilfældige skader eller følgeskader, hvorfor ovenstående begrænsning muligvis ikke gælder for dig.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
