某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2018, 2016 ja 11.Nämä päivitykset ratkaisevat kolme kriittistä haavoittuvuutta, jotka voivat johtaa mielivaltaiseen koodin suoritukseen.
| Tuote | Versiot | Ympäristö |
|---|---|---|
| ColdFusion 2018 | Päivitys 3 ja aiemmat versiot | Kaikki |
| ColdFusion 2016 | Päivitys 10 ja aiemmat versiot | Kaikki |
| ColdFusion 11 | Päivitys 18 ja aiemmat versiot | Kaikki |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Saatavuus |
|---|---|---|---|---|
| ColdFusion 2018 | Päivitys 4 | Kaikki | 1 | Technote-tiedote |
| ColdFusion 2016 | Päivitys 11 | Kaikki | 1 | Technote-tiedote |
| ColdFusion 11 | Päivitys 19 | Kaikki |
1 | Technote-tiedote |
HUOMAUTUS:
Yllä Technote-tiedotteessa mainitut tietoturvapäivitykset edellyttävät vähintään JDF-versiota 8u121 (ColdFusion 2016:lle) ja JDK 7u131- tai JDK 8u121 -versiota (ColdFusion 11:lle). Adobe suosittelee ColdFusion JDK:n/JRE:n päivittämistä uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta. Katso lisätietoja asiaankuuluvista Technote-tiedotteista.
Adobe suosittelee, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVE-numerot |
|---|---|---|---|
| Tiedostotunnisteiden estoluettelon ohitus | Mielivaltaisen koodin suoritus | Kriittinen (katso huomautus jäljempänä) | CVE-2019-7838 |
| Komentojen lisäys | Mielivaltaisen koodin suoritus | Kriittinen (katso huomautus jäljempänä) | CVE-2019-7839 |
| Ei-luotettavien tietojen sarjoituksen purkaminen | Mielivaltaisen koodin suoritus | Kriittinen (katso huomautus jäljempänä) | CVE-2019-7840 |
Huomautukset:
CVE-2019-7838: Tätä haavoittuvuutta voidaan hyödyntää vain, jos tiedostojen palvelinlatausten hakemisto on käytettävissä verkosta käsin.
CVE-2019-7839: Tämä haavoittuvuus ei vaikuta ColdFusion-versioon 11.
CVE-2019-7840: Katso lisätiedot tämän haavoittuvuuden ratkaisemista ColdFusionin versiokohtaisesta teknisestä tiedotteesta.
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat näistä ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
Badcode, Knownsec 404 Team (CVE-2019-7838)
Moritz Bechler (SySS GmbH) (CVE-2019-7839)
Brenden Meeder, Booz Allen Hamilton (CVE-2019-7840)
COLDFUSION 2018 HF1 ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
COLDFUSION 2016 HF7 ja uudemmat
Tämä tietoturvapäivitys edellyttää ColdFusion-versiota JDK 8u121 tai uudempaa versiota. Adobe suosittelee päivittämään ColdFusion JDK:n/JRE:n manuaalisesti uusimpaan versioon. Jos et päivitä JDK- tai JRE-versiota, pelkästään päivityksen käyttöönotto EI takaa palvelin tietoturvaa.
Sovelluspalvelimia varten
Lisäksi JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa
COLDFUSION 11 HF15 ja uudemmat
Tämä tietoturvapäivitys edellyttää vähintään ColdFusion-versiota JDK 7u131 tai JDK 8u121. Adobe suosittelee päivittämään ColdFusion JDK:n/JRE:n manuaalisesti uusimpaan versioon. Jos et päivitä JDK- tai JRE-versiota, pelkästään päivityksen käyttöönotto EI takaa palvelin tietoturvaa.
Sovelluspalvelimia varten
Lisäksi J2EE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa
Käyttöoikeussopimus
Käyttämällä tätä Adobe Incorporatedin tai sen tytäryhtiöiden (”Adobe”) ohjelmistoa hyväksyt seuraavat ehdot. Jos et hyväksy näitä ehtoja, älä käytä tätä ohjelmistoa. Ladattavien tai asennettavien ohjelmistotiedostojen käyttöoikeussopimusten ehdot korvaavat alla olevat ehdot tällaisia ohjelmia asennettaessa tai ladattaessa.
Adoben ohjelmistotuotteiden vientiä ja jälleenvientiä koskevat Yhdysvaltain vientiä koskevat lait. Näiden lakien nojalla Adoben ohjelmistoja ei saa viedä tai jälleenviedä Iraniin, Kuubaan, Pohjois-Koreaan, Syyriaan, Ukrainan Krimin alueelle tai mihinkään muuhun maahan, jotka ovat Yhdysvaltain asettamassa kauppasaarrossa. Adoben ohjelmistoja ei myöskään saa levittää henkilöille, jotka on mainittu Table of Denial Orders-; Entity List- tai List of Specially Designated Nationals -luetteloissa.
Lataamalla tai käyttämällä Adoben ohjelmistotuotteita vakuutat, että et ole Iranin, Kuuban, Pohjois-Korean, Syyrian, Ukrainan Krimin alueen tai minkään muun Yhdysvaltain asettamassa kauppasaarrossa olevan valtion kansalainen. Lisäksi vakuutat, että nimeäsi ei mainita Table of Denial Orders-, Entity List- tai List of Specially Designated Nationals -luetteloissa. Jos ohjelmisto on tarkoitettu käytettäväksi Adoben julkaiseman sovellusohjelmiston (”sovellusohjelmisto”) kanssa, Adobe myöntää sinulle ilman yksinoikeutta oikeuden käyttää tällaista ohjelmistoa ainoastaan sovellusohjelmiston kanssa; edellyttäen, että sinulla on sovellusohjelmistoon voimassa oleva lisenssi Adobelta. Lukuun ottamatta jäljempänä esitettyjä ehtoja; tällaisen ohjelmiston käyttöoikeus on myönnetty sinulle Adoben käyttöoikeussopimuksen sovellusohjelmiston käyttöä koskevien ehtojen mukaisesti.
TAKUUT JA VASTUUNRAJOITUKSET: HYVÄKSYT, ETTÄ ADOBE EI MYÖNNÄ MINKÄÄNLAISIA NIMENOMAISIA TAKUITA OHJELMISTOLLE, JA ETTÄ OHJELMISTO TOIMITETAAN SINULLE SELLAISENAAN ILMAN MINKÄÄNLAISIA TAKUITA. ADOBE KIELTÄYTYY RAJOITUKSETTA KAIKISTA OHJELMISTOA KOSKEVISTA NIMENOMAISISTA TAI KONKLUDENTTISISTA TAKUISTA, MUKAAN LUKIEN TIETTYYN KÄYTTÖTARKOITUKSEEN SOVELTUVUUS, KOLMANSIEN OSAPUOLIEN OIKEUKSIEN LOUKKAAMATTOMUUS SEKÄ TUOTTEEN SOVELTUVUUS KAUPANKÄYNTIIN. Joissain valtioissa tai lainkäyttöalueilla ei sallita nimenomaisten takuiden poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.
VASTUUNRAJOITUSLAUSEKE: ADOBE EI MISSÄÄN TAPAUKSESSA VASTAA MISTÄÄN SINULLE TUOTTEEN KÄYTÖN KESKEYTYMISESTÄ TAI YRITYSTOIMINNAN HÄIRIINTYMISESTÄ AIHEUTUNEISTA SUORISTA TAI EPÄSUORISTA TAI SATUNNAISISTA TAI VÄLILLISISTÄ VAHINGOISTA (MUKAAN LUKIEN MENETETYT TULOT), VAIKKA TOIMINTA OLISI SOPIMUKSESSA MAINITTU, EIKÄ ADOBE VASTAA SOPIMUSRIKKOMUKSISTA (MUKAAN LUKIEN LAIMINLYÖNTI) AIHEUTUNEISTA VAHINGOISTA, VAIKKA ADOBELLE OLISI ILMOITETTU TÄLLAISTEN VAHINKOJEN MAHDOLLISUUDESTA. Joissain valtioissa tai lainkäyttöalueilla ei sallita satunnaisten tai välillisten vahinkojen rajoittamista tai poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.