Tiedotteen tunnus
Päivitetty viimeksi
21. tammikuuta 2026
Adobe ColdFusionin tietoturvapäivitykset | APSB26-12
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB26-12 |
13. tammikuuta 2026 |
1 |
Yhteenveto
Adobe on julkaissut Adobe ColdFusionin versioiden 2025 ja 2023 tietoturvapäivitykset, jotka korjaavat kriittisen haavoittuvuuden, joka voi johtaa mielivaltaisen koodin suorittamiseen.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2025 |
Päivitys 5 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2023 |
Päivitys 17 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2025 |
Päivitys 6 |
Kaikki |
1 |
|
|
ColdFusion 2023 |
Päivitys 18 |
Kaikki |
1 |
Huomautus:
Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa osoitteessa: https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia deserialisointihyökkäyksiä vastaan: https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-serialfilter-file.html
Riippuvuuksien päivitys
|
CVE-numero |
Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
|
CVE-2025-66516 |
Apache Tika |
Mielivaltaisen koodin suoritus |
Päivitys 5 ja aiemmat Päivitys 17 ja aiemmat |
Lisätietoja on osoitteessa: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Huomautus:
Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti.
Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto.
Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten
Aseta JEE-asennuksissa seuraava JVM-lippu: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " vastaavaan käynnistystiedostoon käytetystä sovelluspalvelimen tyypistä riippuen.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennukseen, älä erillisasennukseen.
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
Aseta JEE-asennuksissa seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;” vastaavaan käynnistystiedostoon käytetystä sovelluspalvelimen tyypistä riippuen.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennukseen, älä erillisasennukseen.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
