Boletín de seguridad de Adobe

Boletín de seguridad de Adobe

Buscar
Guía del usuario

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Actualización de seguridad: Revisión disponible para ColdFusion

Fecha de publicación: 17 de noviembre de 2015

Identificador de vulnerabilidad: APSB15-29

Prioridad: 2

Números CVE: CVE-2015-8052, CVE-2015-8053, CVE-2015-5255

Plataforma: Todas las plataformas

Resumen

Adobe ha lanzado una revisión de seguridad para las versiones 11 y 10 de ColdFusion.  Esta revisión soluciona dos problemas de validación de entradas que podrían utilizarse para realizar ataques de secuencias de comandos en sitios cruzados reflejadas. Esta revisión también incluye una versión actualizada de Apache™ BlazeDS, que soluciona una importante vulnerabilidad de falsificación de peticiones en el servidor.  Adobe recomienda a los usuarios que apliquen la revisión adecuada siguiendo las instrucciones proporcionadas en la sección "Solución" que se indica a continuación.

Versiones afectadas

Producto Versiones afectadas Plataforma
ColdFusion 11 Actualización 6 y versiones anteriores Todas
ColdFusion 10 Actualización 17 y versiones anteriores Todas

Solución

Adobe recomienda a los clientes de ColdFusion que actualicen su instalación mediante las instrucciones que se proporcionan en la nota técnica correspondiente:

ColdFusion 11: http://helpx.adobe.com/es/coldfusion/kb/coldfusion-11-update-7.html

ColdFusion 10: http://helpx.adobe.com/es/coldfusion/kb/coldfusion-10-update-18.html

Los clientes también deben aplicar los ajustes de configuración de seguridad de la página de seguridad de ColdFusion y consultar las guías de bloqueo ColdFusion 11 Lockdown Guide y ColdFusion 10 Lockdown Guide.

Niveles de gravedad y prioridad

 Adobe categoriza esta revisión de acuerdo con el siguiente nivel de prioridad y recomienda que los usuarios actualicen los programas a la versión más reciente:

Producto Versión de la revisión Plataforma Nivel de prioridad Disponibilidad
ColdFusion 11 Actualización 7 Todas
 2 Nota técnica
ColdFusion 10 Actualización 18 Todas 2 Nota técnica

Detalles sobre la vulnerabilidad

Esta revisión soluciona dos problemas de validación de entradas (CVE-2015-8052 y CVE-2015-8053) que podrían utilizarse para realizar ataques de secuencias de comandos en sitios cruzados reflejadas. Esta revisión también incluye una versión actualizada de Apache™ BlazeDS, que soluciona una importante vulnerabilidad de falsificación de peticiones en el servidor (CVE-2015-5255).  

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • James Kettle, de PortSwigger Web Security (CVE-2015-5255) 
  • FortiGuard Labs, de Fortinet (CVE-2015-8053)

Renuncia de Adobe

Acuerdo de licencia

Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"), aceptas los siguientes términos y condiciones. Si no estás de acuerdo con los siguientes términos y condiciones, no utilices el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos presentados a continuación.

La exportación y reexportación de productos de software Adobe están controladas por las leyes de exportación de los Estados Unidos y dicho software no debe exportarse ni reexportarse a Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo. Además, el software Adobe no debe distribuirse entre personas de la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.

Al descargar o utilizar un producto de software de Adobe, certificas que no eres ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo y que no eres una de las personas de la tabla de denegación de pedidos, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarlo con un producto de software de una aplicación (la "aplicación del host") publicado por Adobe, Adobe te garantiza una licencia no exclusiva para utilizar dicho software solo con la aplicación del host, siempre que poseas una licencia válida de Adobe para la aplicación del host. A excepción de lo establecido a continuación, se te otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.

RENUNCIA A LAS GARANTÍAS: ACEPTAS QUE ADOBE NO TE HA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE TE PROPORCIONA EL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUIDA, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIALIDAD, LA CALIDAD DE COMERCIALIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no se te apliquen.

LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ESTE SE INCLUYA EN EL CONTRATO, AGRAVIO (INCLUIDA LA NEGLIGENCIA), RESPONSABILIDAD ESTRICTA DEL PRODUCTO U OTROS, INCLUSO SI SE HA AVISADO A ADOBE DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no se te apliquen.