ColdFusion-versio
Päivitetty viimeksi
29. marraskuuta 2021
Tietoturvapäivitys: hotfix-korjauksia saatavana ColdFusioniin
Julkaisupäivä: 14. lokakuuta 2014
Haavoittuvuuden tunniste: APSB14-23
Prioriteetti: Katso alla oleva taulukko
CVE-numerot: CVE-2014-0570, CVE-2014-0571, CVE-2014-0572
Ympäristö Kaikki ympäristöt
Yhteenveto
Adobe on julkaissut tietoturvaa parantavia hotfix-korjaustiedostoja kaikkien käyttöjärjestelmien ColdFusion-versioihin 11, 10, 9.0.2, 9.0.1 ja 9.0. Nämä korjaustiedostot ratkaisevat käyttöoikeuksiin liittyvän tietoturvaongelman, jota hyödyntämällä todentamaton paikallinen käyttäjä pystyi ohittamaan ColdFusion-järjestelmänvalvojan määrittämät käyttöoikeuksien IP-osoiterajoitukset. Korjaustiedostot ratkaisevat myös sivustojen välisiin komentosarjoihin ja sivustojen välisten pyyntöjen väärentämiseen liittyviä haavoittuvuuksia.
Ohjelmistoversiot, joita haavoittuvuus koskee
ColdFusion 11, 10, 9.0.2, 9.0.1 ja 9.0 kaikissa käyttöjärjestelmissä.
Ratkaisu
Adobe kehottaa ColdFusion-käyttäjiä päivittämään asennetut ohjelmistonsa seuraavan technote-tiedotteen ohjeiden mukaisesti: http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html
Asiakkaiden tulisi myös ottaa käyttöön ColdFusion Security -sivulla määritetyt tietoturva-asetukset sekä lukea ColdFusion 11 -lukitusopas, ColdFusion 10 -lukitusopas ja ColdFusion 9 -lukitusopas.
Prioriteetti- ja vakavuusluokitukset
Adobe luokittelee nämä päivitykset seuraavilla prioriteettiluokituksilla ja suosittelee käyttäjiä päivittämään ohjelmistonsa uusimpiin versioihin:
|
|
Hotfix-versio |
Ympäristö |
Prioriteettiluokitus |
|
11 |
Päivitys 2 |
Kaikki |
2 |
|
10 |
Päivitys 14 |
Kaikki |
2 |
|
9.0.2 |
Päivitys 7 |
Kaikki |
2 |
|
9.0.1 |
Päivitys 12 |
Kaikki |
2 |
|
9.0 |
Päivitys 13 |
Kaikki |
2 |
Nämä päivitykset ratkaisevat ohjelmiston tärkeitä haavoittuvuuksia.
Tiedot
Adobe on julkaissut tietoturvaa parantavia hotfix-korjaustiedostoja kaikkien käyttöjärjestelmien ColdFusion-versioihin 11, 10, 9.0.2, 9.0.1 ja 9.0.
Nämä korjaustiedostot ratkaisevat sivustojen välisten pyyntöjen väärentämiseen liittyvän haavoittuvuuden (CVE-2014-0570).
Nämä korjaustiedostot ratkaisevat sivustojen välisiin komentosarjoihin liittyvän haavoittuvuuden (CVE-2014-0571).
Nämä korjaustiedostot ratkaisevat käyttöoikeuksiin liittyvän tietoturvaongelman, jota hyödyntämällä todentamaton paikallinen käyttäjä pystyi ohittamaan käyttöoikeuksien IP-osoiterajoitukset (CVE-2014-0572).
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Craig Young Tripwire VERTistä (CVE-2014-0570)
- Pete Freitag, Foundeo Inc. (CVE-2014-0571)
- Aaron Foote (CVE-2014-0572)
Adoben vastuuvapauslauseke
Käyttöoikeussopimus
Käyttämällä tätä Adobe Systems Incorporatedin tai sen tytäryhtiöiden (”Adobe”) ohjelmistoa hyväksyt seuraavat ehdot. Jos et hyväksy näitä ehtoja, älä käytä tätä ohjelmistoa. Ladattavien tai asennettavien ohjelmistotiedostojen käyttöoikeussopimusten ehdot korvaavat alla olevat ehdot tällaisia ohjelmia asennettaessa tai ladattaessa.
Adoben ohjelmistotuotteiden vientiä ja jälleenvientiä koskevat Yhdysvaltain vientiä koskevat lait. Näiden lakien nojalla Adoben ohjelmistoja ei saa viedä tai jälleenviedä Irakiin, Iraniin, Kuubaan, Libyaan, Pohjois-Koreaan, Sudaniin, Syyriaan tai mihinkään muuhun maahan, jotka ovat Yhdysvaltain asettamassa kauppasaarrossa. Adoben ohjelmistoja ei myöskään saa levittää henkilöille, jotka on mainittu Table of Denial Orders-; Entity List- tai List of Specially Designated Nationals -luetteloissa.
Lataamalla tai käyttämällä Adoben ohjelmistotuotteita vakuutat, että et ole Iranin, Irakin, Kuuban, Libyan, Pohjois-Korean, Sudanin, Syyrian tai minkään muunkaan Yhdysvaltain asettamassa kauppasaarrossa olevan valtion kansalainen. Lisäksi vakuutat, että nimeäsi ei mainita Table of Denial Orders-, Entity List- tai List of Specially Designated Nationals -luetteloissa. Jos ohjelmisto on tarkoitettu käytettäväksi Adoben julkaiseman sovellusohjelmiston (”sovellusohjelmisto”) kanssa, Adobe myöntää sinulle ilman yksinoikeutta oikeuden käyttää tällaista ohjelmistoa ainoastaan sovellusohjelmiston kanssa; edellyttäen, että sinulla on sovellusohjelmistoon voimassa oleva lisenssi Adobelta. Lukuun ottamatta jäljempänä esitettyjä ehtoja; tällaisen ohjelmiston käyttöoikeus on myönnetty sinulle Adoben käyttöoikeussopimuksen sovellusohjelmiston käyttöä koskevien ehtojen mukaisesti.
TAKUUT JA VASTUUNRAJOITUKSET: HYVÄKSYT, ETTÄ ADOBE EI MYÖNNÄ MINKÄÄNLAISIA NIMENOMAISIA TAKUITA OHJELMISTOLLE, JA ETTÄ OHJELMISTO TOIMITETAAN SINULLE SELLAISENAAN ILMAN MINKÄÄNLAISIA TAKUITA. ADOBE KIELTÄYTYY RAJOITUKSETTA KAIKISTA OHJELMISTOA KOSKEVISTA NIMENOMAISISTA TAI KONKLUDENTTISISTA TAKUISTA, MUKAAN LUKIEN TIETTYYN KÄYTTÖTARKOITUKSEEN SOVELTUVUUS, KOLMANSIEN OSAPUOLIEN OIKEUKSIEN LOUKKAAMATTOMUUS SEKÄ TUOTTEEN SOVELTUUS KAUPANKÄYNTIIN. Joissain valtioissa tai lainkäyttöalueilla ei sallita nimenomaisten takuiden poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.
VASTUUNRAJOITUSLAUSEKE: ADOBE EI MISSÄÄN TAPAUKSESSA VASTAA MISTÄÄN SINULLE TUOTTEEN KÄYTÖN KESKEYTYMISESTÄ TAI YRITYSTOIMINNAN HÄIRIINTYMISESTÄ AIHEUTUNEISTA SUORISTA TAI EPÄSUORISTA TAI SATUNNAISISTA TAI VÄLILLISISTÄ VAHINGOISTA (MUKAAN LUKIEN MENETETYT TULOT), VAIKKA TOIMINTA OLISI SOPIMUKSESSA MAINITTU, EIKÄ ADOBE VASTAA SOPIMUSRIKKOMUKSISTA (MUKAAN LUKIEN LAIMINLYÖNTI) AIHEUTUNEISTA VAHINGOISTA, VAIKKA ADOBELLE OLISI ILMOITETTU TÄLLAISTEN VAHINKOJEN MAHDOLLISUUDESTA. Joissain valtioissa tai lainkäyttöalueilla ei sallita satunnaisten tai välillisten vahinkojen rajoittamista tai poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.
