ColdFusion tietoturvapäivitys | APSB18-14
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-14 10. huhtikuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 11 ja 2016. Nämä päivitykset korjaavat tärkeän ei-suojatun kirjaston latauksen haavoittuvuuden (CVE-2018-4938), tärkeän sivustojen välisen skriptauksen haavoittuvuuden, joka voi johtaa koodin lisäämiseen (CVE-2018-4940), sekä tärkeän sivustojen välisen skriptauksen haavoittuvuuden, joka voi johtaa tietojen paljastumiseen (CVE-2018-4941). Nämä päivitykset sisältävät myös kriittistä ei-turvallisen Java-sarjoituksenpoiston haavoittuvuutta korjaavan päivityksen (CVE-2018-4939) sekä kriittistä ei-turvallisen XML-jäsennyksen haavoittuvuutta (CVE-2018-4942) korjaavan päivityksen.

Versiot

Tuote Versiot Ympäristö
ColdFusion (2016-versio) Päivitys 5 ja aiemmat versiot Kaikki
ColdFusion 11 Päivitys 13 ja aiemmat versiot Kaikki

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Saatavuus
ColdFusion (2016-versio) Päivitys 6 Kaikki 2 Technote-tiedote
ColdFusion 11 Päivitys 14 Kaikki
2 Technote-tiedote

Huomautus:

Yllä Technote-tiedotteessa mainitut tietoturvapäivitykset edellyttävät vähintään JDF-versiota 8u121 (ColdFusion 2016:lle) ja JDK 7u131- tai JDK 8u121 -versiota (ColdFusion 11:lle). Adobe suosittelee ColdFusion JDK:n/JRE:n päivittämistä uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta. Katso lisätietoja asiaankuuluvista Technote-tiedotteista.

Asiakkaiden tulisi lisäksi ottaa käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustua vastaavaan lukitusoppaaseen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numerot
Turvattoman kirjaston lataus Paikallisten oikeuksien korotus Tärkeä CVE-2018-4938
Ei-luotettavien tietojen sarjoituksen purkaminen Koodin etäsuoritus Kriittinen CVE-2018-4939
Sivustojen välinen skriptaus Tietojen paljastuminen Tärkeä CVE-2018-4940
Sivustojen välinen skriptaus Tietojen paljastuminen Tärkeä CVE-2018-4941
Ei-turvallinen ulkoisen XML-yksikön käsittely Tietojen paljastuminen Kriittinen CVE-2018-4942

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat näistä ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor NCC Groupista (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman ja Michael S. O'Dell, USRA (CVE-2018-4941)
  • Matthias Kaiser, Code White GmbH (CVE-2018-4942)

ColdFusion JDK -vaatmus

COLDFUSION 2016 HF6

Tämä tietoturvapäivitys edellyttää ColdFusion-versiota JDK 8u121 tai uudempaa versiota. Adobe suosittelee ColdFusion JDK:n/JRE:n päivittämistä uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta.

Sovelluspalvelimia varten

Lisäksi JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**”.

Esimerkiksi:

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.

COLDFUSION 11 HF14

Tämä tietoturvapäivitys edellyttää vähintään ColdFusion-versiota JDK 7u131 tai JDK 8u121.

Adobe suosittelee ColdFusion JDK:n/JRE:n päivittämistä uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta.

Sovelluspalvelimia varten

Lisäksi J2EE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**”.

Esimerkiksi:

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.

Adoben vastuuvapauslauseke

Käyttöoikeussopimus

Käyttämällä tätä Adobe Systems Incorporatedin tai sen tytäryhtiöiden (”Adobe”) ohjelmistoa hyväksyt seuraavat ehdot. Jos et hyväksy näitä ehtoja, älä käytä tätä ohjelmistoa. Ladattavien tai asennettavien ohjelmistotiedostojen käyttöoikeussopimusten ehdot korvaavat alla olevat ehdot tällaisia ohjelmia asennettaessa tai ladattaessa.

Adoben ohjelmistotuotteiden vientiä ja jälleenvientiä koskevat Yhdysvaltain vientiä koskevat lait. Näiden lakien nojalla Adoben ohjelmistoja ei saa viedä tai jälleenviedä Irakiin, Iraniin, Kuubaan, Libyaan, Pohjois-Koreaan, Sudaniin, Syyriaan tai mihinkään muuhun maahan, jotka ovat Yhdysvaltain asettamassa kauppasaarrossa. Adoben ohjelmistoja ei myöskään saa levittää henkilöille, jotka on mainittu Table of Denial Orders-; Entity List- tai List of Specially Designated Nationals -luetteloissa.

Lataamalla tai käyttämällä Adoben ohjelmistotuotteita vakuutat, että et ole Iranin, Irakin, Kuuban, Libyan, Pohjois-Korean, Sudanin, Syyrian tai minkään muunkaan Yhdysvaltain asettamassa kauppasaarrossa olevan valtion kansalainen. Lisäksi vakuutat, että nimeäsi ei mainita Table of Denial Orders-, Entity List- tai List of Specially Designated Nationals -luetteloissa. Jos ohjelmisto on tarkoitettu käytettäväksi Adoben julkaiseman sovellusohjelmiston (”sovellusohjelmisto”) kanssa, Adobe myöntää sinulle ilman yksinoikeutta oikeuden käyttää tällaista ohjelmistoa ainoastaan sovellusohjelmiston kanssa; edellyttäen, että sinulla on sovellusohjelmistoon voimassa oleva lisenssi Adobelta. Lukuun ottamatta jäljempänä esitettyjä ehtoja; tällaisen ohjelmiston käyttöoikeus on myönnetty sinulle Adoben käyttöoikeussopimuksen sovellusohjelmiston käyttöä koskevien ehtojen mukaisesti.

TAKUUT JA VASTUUNRAJOITUKSET: HYVÄKSYT, ETTÄ ADOBE EI MYÖNNÄ MINKÄÄNLAISIA NIMENOMAISIA TAKUITA OHJELMISTOLLE, JA ETTÄ OHJELMISTO TOIMITETAAN SINULLE SELLAISENAAN ILMAN MINKÄÄNLAISIA TAKUITA. ADOBE KIELTÄYTYY RAJOITUKSETTA KAIKISTA OHJELMISTOA KOSKEVISTA NIMENOMAISISTA TAI KONKLUDENTTISISTA TAKUISTA, MUKAAN LUKIEN TIETTYYN KÄYTTÖTARKOITUKSEEN SOVELTUVUUS, KOLMANSIEN OSAPUOLIEN OIKEUKSIEN LOUKKAAMATTOMUUS SEKÄ TUOTTEEN SOVELTUUS KAUPANKÄYNTIIN. Joissain valtioissa tai lainkäyttöalueilla ei sallita nimenomaisten takuiden poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.

VASTUUNRAJOITUSLAUSEKE: ADOBE EI MISSÄÄN TAPAUKSESSA VASTAA MISTÄÄN SINULLE TUOTTEEN KÄYTÖN KESKEYTYMISESTÄ TAI YRITYSTOIMINNAN HÄIRIINTYMISESTÄ AIHEUTUNEISTA SUORISTA TAI EPÄSUORISTA TAI SATUNNAISISTA TAI VÄLILLISISTÄ VAHINGOISTA (MUKAAN LUKIEN MENETETYT TULOT), VAIKKA TOIMINTA OLISI SOPIMUKSESSA MAINITTU, EIKÄ ADOBE VASTAA SOPIMUSRIKKOMUKSISTA (MUKAAN LUKIEN LAIMINLYÖNTI) AIHEUTUNEISTA VAHINGOISTA, VAIKKA ADOBELLE OLISI ILMOITETTU TÄLLAISTEN VAHINKOJEN MAHDOLLISUUDESTA. Joissain valtioissa tai lainkäyttöalueilla ei sallita satunnaisten tai välillisten vahinkojen rajoittamista tai poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.