Tietoturvapäivitys: hotfix-korjauksia saatavana ColdFusioniin

Julkaisupäivä: 10. toukokuuta 2016

Viimeksi päivitetty: 10. kesäkuuta 2016

Haavoittuvuuden tunniste: APSB16-16

Prioriteetti 2

CVE-numerot: CVE-2016-1113, CVE-2016-1114, CVE-2016-1115

Ympäristö: kaikki

Yhteenveto

Adobe on julkaissut tietoturvan korjaustiedostoja ColdFusion-versioihin 10, 11 ja 2016. Nämä korjaustiedostot ratkaisevat syötteen tarkistusongelman (CVE-2016-1113) ja isäntänimen vahvistusongelman wildcard-varmenteiden kanssa (CVE-2016-1115) sekä sisältävät päivitetyn version java-koodin sarjoituksen purkuongelman poistavasta Apache Commons Collections -kirjastosta (CVE-2016-1114).
Adobe suosittelee asiakkaita asentamaan tarvittavat korjaustiedostot jäljempänä olevan Ratkaisu-osion ohjeiden mukaisesti.

Versiot

Tuote Versiot Ympäristö
ColdFusion (2016-versio) 2016.0.0 Kaikki
ColdFusion 11 Päivitys 7 ja aiemmat versiot Kaikki
ColdFusion 10 Päivitys 18 ja aiemmat versiot Kaikki

Ratkaisu

Adobe luokittelee tämän hotfix-korjauksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Hotfix-versio Ympäristö Prioriteettiluokitus Saatavuus
ColdFusion (2016-versio) Päivitys 1 Kaikki 2 Technote-tiedote
ColdFusion 11 Päivitys 8 Kaikki
2 Technote-tiedote
ColdFusion 10 Päivitys 19 Kaikki 2 Technote-tiedote

Adobe kehottaa ColdFusion-käyttäjiä päivittämään asennetut ohjelmistonsa asianmukaisen technote-tiedotteen mukaisesti:

Asiakkaiden tulisi lisäksi ottaa käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustua vastaavaan lukitusoppaaseen.

Lisätietoja haavoittuvuuksista

  • Nämä korjaustiedostot ratkaisevat tärkeän syötteen tarkistusongelman (CVE-2016-1113), jota hyödyntämällä voidaan tehdä sivustojen välisiä komentosarjahyökkäyksiä.
  • Nämä korjaustiedostot sisältävät päivitetyn version java-koodin sarjoituksen purkuhaavoittuvuuden poistavasta Apache Commons Collections -kirjastosta (CVE-2016-1114).
  • Nämä korjaustiedostot ratkaisevat keskitärkeän isäntänimen vahvistusongelman, joka vaikuttaa wildcard-varmenteisiin (CVE-2016-1115).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat näistä ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Andrew Bonstrom (CVE-2016-1113)
  • Aaron Foote (CVE-2016-1114)
  • Pete Freitag Foundeo Inc:stä (CVE-2016-1115)

Versiot

10. kesäkuuta 2016: lisätty kiitos Aaron Footelle haavoittuvuudesta CVE-2016-1114. 

Adoben vastuuvapauslauseke

Käyttöoikeussopimus

Käyttämällä tätä Adobe Systems Incorporatedin tai sen tytäryhtiöiden (”Adobe”) ohjelmistoa hyväksyt seuraavat ehdot. Jos et hyväksy näitä ehtoja, älä käytä tätä ohjelmistoa. Ladattavien tai asennettavien ohjelmistotiedostojen käyttöoikeussopimusten ehdot korvaavat alla olevat ehdot tällaisia ohjelmia asennettaessa tai ladattaessa.

Adoben ohjelmistotuotteiden vientiä ja jälleenvientiä koskevat Yhdysvaltain vientiä koskevat lait. Näiden lakien nojalla Adoben ohjelmistoja ei saa viedä tai jälleenviedä Irakiin, Iraniin, Kuubaan, Libyaan, Pohjois-Koreaan, Sudaniin, Syyriaan tai mihinkään muuhun maahan, jotka ovat Yhdysvaltain asettamassa kauppasaarrossa. Adoben ohjelmistoja ei myöskään saa levittää henkilöille, jotka on mainittu Table of Denial Orders-; Entity List- tai List of Specially Designated Nationals -luetteloissa.

Lataamalla tai käyttämällä Adoben ohjelmistotuotteita vakuutat, että et ole Iranin, Irakin, Kuuban, Libyan, Pohjois-Korean, Sudanin, Syyrian tai minkään muunkaan Yhdysvaltain asettamassa kauppasaarrossa olevan valtion kansalainen. Lisäksi vakuutat, että nimeäsi ei mainita Table of Denial Orders-, Entity List- tai List of Specially Designated Nationals -luetteloissa. Jos ohjelmisto on tarkoitettu käytettäväksi Adoben julkaiseman sovellusohjelmiston (”sovellusohjelmisto”) kanssa, Adobe myöntää sinulle ilman yksinoikeutta oikeuden käyttää tällaista ohjelmistoa ainoastaan sovellusohjelmiston kanssa; edellyttäen, että sinulla on sovellusohjelmistoon voimassa oleva lisenssi Adobelta. Lukuun ottamatta jäljempänä esitettyjä ehtoja; tällaisen ohjelmiston käyttöoikeus on myönnetty sinulle Adoben käyttöoikeussopimuksen sovellusohjelmiston käyttöä koskevien ehtojen mukaisesti.

TAKUUT JA VASTUUNRAJOITUKSET: HYVÄKSYT, ETTÄ ADOBE EI MYÖNNÄ MINKÄÄNLAISIA NIMENOMAISIA TAKUITA OHJELMISTOLLE, JA ETTÄ OHJELMISTO TOIMITETAAN SINULLE SELLAISENAAN ILMAN MINKÄÄNLAISIA TAKUITA. ADOBE KIELTÄYTYY RAJOITUKSETTA KAIKISTA OHJELMISTOA KOSKEVISTA NIMENOMAISISTA TAI KONKLUDENTTISISTA TAKUISTA, MUKAAN LUKIEN TIETTYYN KÄYTTÖTARKOITUKSEEN SOVELTUVUUS, KOLMANSIEN OSAPUOLIEN OIKEUKSIEN LOUKKAAMATTOMUUS SEKÄ TUOTTEEN SOVELTUUS KAUPANKÄYNTIIN. Joissain valtioissa tai lainkäyttöalueilla ei sallita nimenomaisten takuiden poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.

VASTUUNRAJOITUSLAUSEKE: ADOBE EI MISSÄÄN TAPAUKSESSA VASTAA MISTÄÄN SINULLE TUOTTEEN KÄYTÖN KESKEYTYMISESTÄ TAI YRITYSTOIMINNAN HÄIRIINTYMISESTÄ AIHEUTUNEISTA SUORISTA TAI EPÄSUORISTA TAI SATUNNAISISTA TAI VÄLILLISISTÄ VAHINGOISTA (MUKAAN LUKIEN MENETETYT TULOT), VAIKKA TOIMINTA OLISI SOPIMUKSESSA MAINITTU, EIKÄ ADOBE VASTAA SOPIMUSRIKKOMUKSISTA (MUKAAN LUKIEN LAIMINLYÖNTI) AIHEUTUNEISTA VAHINGOISTA, VAIKKA ADOBELLE OLISI ILMOITETTU TÄLLAISTEN VAHINKOJEN MAHDOLLISUUDESTA. Joissain valtioissa tai lainkäyttöalueilla ei sallita satunnaisten tai välillisten vahinkojen rajoittamista tai poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.