Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para ColdFusion | APSB20-16

ID del boletín

Fecha de publicación

Prioridad

APSB20-16

17 de marzo de 2020

2

Resumen

Adobe ha lanzado actualizaciones de seguridad para las versiones de , 2016 y 2018 de ColdFusion. Estas actualizaciones solucionan varias vulnerabilidades críticas que podrían resultar en la ejecución arbitraria de código. 


Versiones afectadas

Producto

Número de actualización

Plataforma

ColdFusion 2016

Actualización 13 y versiones anterior

Todas

ColdFusion 2018

Actualización 7 y versiones anteriores    

Todas

Nota:

Estas vulnerabilidades no afectan a los servidores de ColdFusion implementados con el programa de instalación de bloqueo recomendado.

Solución

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión actualizada

Plataforma

Nivel de prioridad

Disponibilidad

ColdFusion 2016

Actualización 14

Todas

                   2

ColdFusion 2018

Actualización 8

Todas

2

Nota:

Adobe recomienda actualizar ColdFusion JDK/JRE a la versión más reciente de LTS para 1.8 y JDK 11. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor.  Consulte las notas técnicas relevantes para obtener más detalles. 

Servidores de aplicaciones JEE:

Los usuarios que tengan implementaciones de JEE ColdFusion (como Tomcat o JBoss EAP) pueden consultar las instrucciones especificadas en https://helpx.adobe.com/es/coldfusion/kb/coldfusion-2018-update-8.html#jee

ColdFusion 11

Se recomienda a los usuarios de ColdFusion 11 aplicar los pasos de mitigación especificados en https://helpx.adobe.com/es/coldfusion/kb/coldfusion-11-mitigation-steps.html

Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.    

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Números CVE

Lectura de archivos remotos

Archivo arbitrario leído desde el directorio de instalación de ColdFusion

Crítico

CVE-2020-3761

Inclusión de archivos  

Ejecución arbitraria de código de archivos ubicados en la raíz web o su subdirectorio

Crítico

CVE-2020-3794

Reconocimientos

Adobe desea dar las gracias a Wang Cheng de Venustech ADLab (CVE-2020-3761, CVE-2020-3794) por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes.

Requisito de JDK de ColdFusion

COLDFUSION 2018 HF1 y versiones posteriores  

Para servidores de aplicaciones   

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   

COLDFUSION 2016 HF7 y versiones posteriores

ColdFusion debe tener JDK 8u121 o versiones posteriores para esta actualización de seguridad. Adobe recomienda actualizar manualmente ColdFusion JDK/JRE a la última versión. Si no actualiza el JDK/JRE, NO garantizará la seguridad del servidor simplemente con aplicar la actualización.

Para servidores de aplicaciones

Además, en instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:         

En el servidor de aplicaciones Apache Tomcat, edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

En el servidor de aplicaciones WebLogic, edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

En el servidor de aplicaciones WildFly/EAP, edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente

Renuncia de Adobe

Acuerdo de licencia

Al utilizar el software de Adobe Incorporated o sus filiales ("Adobe"), aceptas los siguientes términos y condiciones. Si no estás de acuerdo con los siguientes términos y condiciones, no utilices el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos presentados a continuación.

La exportación y reexportación de productos de software Adobe están controladas por las leyes de exportación de Estados Unidos y dicho software no debe exportarse ni reexportarse a Cuba, Irán, Corea del Norte, Siria, la región de Crimea en Ucrania, o cualquier país al que Estados Unidos someta a embargo. Además, el software Adobe no debe distribuirse entre personas de la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente. 

Al descargar o utilizar un producto de software de Adobe, usted certifica que no es ciudadano de Cuba, Irán, Corea del Norte, Siria, la región de Crimea en Ucrania, o cualquier país al que Estados Unidos someta a embargo y que no es una de las personas de la tabla de pedidos de denegación, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarlo con un producto de software de una aplicación (la "aplicación del host") publicado por Adobe, Adobe te garantiza una licencia no exclusiva para utilizar dicho software solo con la aplicación del host, siempre que poseas una licencia válida de Adobe para la aplicación del host. A excepción de lo establecido a continuación, se te otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.

RENUNCIA A LAS GARANTÍAS: ACEPTAS QUE ADOBE NO TE HA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE TE PROPORCIONA EL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUSO, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIABILIDAD, LA CALIDAD DE COMERCIABILIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no se te apliquen.

LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ESTE SE INCLUYA EN EL CONTRATO, AGRAVIO (INCLUIDA LA NEGLIGENCIA), RESPONSABILIDAD ESTRICTA DEL PRODUCTO U OTROS, INCLUSO SI SE HA AVISADO A ADOBE DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no se te apliquen.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea