Adoben tietoturvatiedote

ColdFusion tietoturvapäivitys | APSB20-16

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB20-16

17. maaliskuuta 2020

2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2016 ja 2018. Nämä päivitykset ratkaisevat useita kriittisiä haavoittuvuuksia, jotka voivat johtaa mielivaltaiseen koodin suoritukseen.


Versiot

Tuote

Päivityksen numero

Ympäristö

ColdFusion 2016

Päivitys 13 ja aiemmat versiot

Kaikki

ColdFusion 2018

Päivitys 7 ja aiemmat versiot    

Kaikki

Huomautus:

Nämä haavoittuvuudet eivät vaikuta ColdFusion-palvelimiin, jotka on otettu käyttöön käyttämällä suositeltua lukituksen asennusohjelmaa.

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Saatavuus

ColdFusion 2016

Päivitys 14

Kaikki

                   2

ColdFusion 2018

Päivitys 8

Kaikki

2

Huomautus:

Adobe suosittelee ColdFusion JDK/JRE:n päivittämistä 1.8:n ja JDK 11:n LTS-julkaisujen uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta.  Katso lisätietoja asiaankuuluvista Technote-tiedotteista. 

JEE-sovelluspalvelimet:

Käyttäjät, joilla on JEE ColdFusion -käyttöönottoja (kuten Tomcat tai JBoss EAP), voivat perehtyä ohjeisiin osoitteessa https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-2018-update-8.html#jee.

ColdFusion 11

ColdFusion 11:n käyttäjiä kehotetaan ottamaan käyttöön lievennystoimet, jotka on esitetty osoitteessa https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-11-mitigation-steps.html.   

Adobe suosittelee myös, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin. 

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numerot

Etätiedoston luku

Coldfusion-asennushakemistossa olevan tiedoston mielivaltainen luku

Kriittinen

CVE-2020-3761

Tiedoston sisällyttäminen  

Webrootissa tai sen alihakemistossa olevien tiedostojen mielivaltainen koodin suoritus

Kriittinen

CVE-2020-3794

Kiitokset

Adobe haluaa kiittää Wang Chengiä Venustech ADLabsista näistä ongelmista (CVE-2020-3761, CVE-2020-3794) ilmoittamisesta ja yhteistyöstä Adoben kanssa asiakkaidemme turvaamiseksi.

ColdFusion JDK -vaatimus

COLDFUSION 2018 HF1 ja uudemmat  

Sovelluspalvelimia varten   

JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”. 

Esimerkiksi:   

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.   

COLDFUSION 2016 HF7 ja uudemmat

Tämä tietoturvapäivitys edellyttää ColdFusion-versiota JDK 8u121 tai uudempaa versiota. Adobe suosittelee päivittämään ColdFusion JDK:n/JRE:n manuaalisesti uusimpaan versioon. Jos et päivitä JDK- tai JRE-versiota, pelkästään päivityksen käyttöönotto EI takaa palvelin tietoturvaa.

Sovelluspalvelimia varten

Lisäksi JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”. 

Esimerkiksi:         

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa         

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa         

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa 

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa

Adoben vastuuvapauslauseke

Käyttöoikeussopimus

Käyttämällä tätä Adobe Incorporatedin tai sen tytäryhtiöiden (”Adobe”) ohjelmistoa hyväksyt seuraavat ehdot. Jos et hyväksy näitä ehtoja, älä käytä tätä ohjelmistoa. Ladattavien tai asennettavien ohjelmistotiedostojen käyttöoikeussopimusten ehdot korvaavat alla olevat ehdot tällaisia ohjelmia asennettaessa tai ladattaessa.

Adoben ohjelmistotuotteiden vientiä ja jälleenvientiä koskevat Yhdysvaltain vientiä koskevat lait. Näiden lakien nojalla Adoben ohjelmistoja ei saa viedä tai jälleenviedä Iraniin, Kuubaan, Pohjois-Koreaan, Syyriaan, Ukrainan Krimin alueelle tai mihinkään muuhun maahan, jotka ovat Yhdysvaltain asettamassa kauppasaarrossa. Adoben ohjelmistoja ei myöskään saa levittää henkilöille, jotka on mainittu Table of Denial Orders-; Entity List- tai List of Specially Designated Nationals -luetteloissa. 

Lataamalla tai käyttämällä Adoben ohjelmistotuotteita vakuutat, että et ole Iranin, Kuuban, Pohjois-Korean, Syyrian, Ukrainan Krimin alueen tai minkään muun Yhdysvaltain asettamassa kauppasaarrossa olevan valtion kansalainen. Lisäksi vakuutat, että nimeäsi ei mainita Table of Denial Orders-, Entity List- tai List of Specially Designated Nationals -luetteloissa. Jos ohjelmisto on tarkoitettu käytettäväksi Adoben julkaiseman sovellusohjelmiston (”sovellusohjelmisto”) kanssa, Adobe myöntää sinulle ilman yksinoikeutta oikeuden käyttää tällaista ohjelmistoa ainoastaan sovellusohjelmiston kanssa; edellyttäen, että sinulla on sovellusohjelmistoon voimassa oleva lisenssi Adobelta. Lukuun ottamatta jäljempänä esitettyjä ehtoja; tällaisen ohjelmiston käyttöoikeus on myönnetty sinulle Adoben käyttöoikeussopimuksen sovellusohjelmiston käyttöä koskevien ehtojen mukaisesti.

TAKUUT JA VASTUUNRAJOITUKSET: HYVÄKSYT, ETTÄ ADOBE EI MYÖNNÄ MINKÄÄNLAISIA NIMENOMAISIA TAKUITA OHJELMISTOLLE, JA ETTÄ OHJELMISTO TOIMITETAAN SINULLE SELLAISENAAN ILMAN MINKÄÄNLAISIA TAKUITA. ADOBE KIELTÄYTYY RAJOITUKSETTA KAIKISTA OHJELMISTOA KOSKEVISTA NIMENOMAISISTA TAI KONKLUDENTTISISTA TAKUISTA, MUKAAN LUKIEN TIETTYYN KÄYTTÖTARKOITUKSEEN SOVELTUVUUS, KOLMANSIEN OSAPUOLIEN OIKEUKSIEN LOUKKAAMATTOMUUS SEKÄ TUOTTEEN SOVELTUVUUS KAUPANKÄYNTIIN. Joissain valtioissa tai lainkäyttöalueilla ei sallita nimenomaisten takuiden poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.

VASTUUNRAJOITUSLAUSEKE: ADOBE EI MISSÄÄN TAPAUKSESSA VASTAA MISTÄÄN SINULLE TUOTTEEN KÄYTÖN KESKEYTYMISESTÄ TAI YRITYSTOIMINNAN HÄIRIINTYMISESTÄ AIHEUTUNEISTA SUORISTA TAI EPÄSUORISTA TAI SATUNNAISISTA TAI VÄLILLISISTÄ VAHINGOISTA (MUKAAN LUKIEN MENETETYT TULOT), VAIKKA TOIMINTA OLISI SOPIMUKSESSA MAINITTU, EIKÄ ADOBE VASTAA SOPIMUSRIKKOMUKSISTA (MUKAAN LUKIEN LAIMINLYÖNTI) AIHEUTUNEISTA VAHINGOISTA, VAIKKA ADOBELLE OLISI ILMOITETTU TÄLLAISTEN VAHINKOJEN MAHDOLLISUUDESTA. Joissain valtioissa tai lainkäyttöalueilla ei sallita satunnaisten tai välillisten vahinkojen rajoittamista tai poissulkemista, joten yllämainitut rajoitukset eivät välttämättä koske sinua.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?