ColdFusion 的安全性更新已推出 | APSB18-33
安全性公告 ID 發佈日期 優先順序
APSB18-33 2018 年 9 月 11 日 2

摘要

Adobe 已推出 ColdFusion 2018、2016 和 11 版的安全性更新。這些更新可解決可能導致執行任意程式碼的重大弱點。

受影響的版本

產品 受影響的版本 平台
ColdFusion (2018 年推出) 7 月 12日版 (2018.0.0.310739) 全部
ColdFusion (2016 年推出) 更新 6 和舊版 全部
ColdFusion 11 更新 14 及舊版 全部

解決方法

Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:

產品 已更新的版本 平台 優先順序分級 上市情況
ColdFusion 2018 更新 1 全部 2 技術說明
ColdFusion 2016  更新 7 全部 2 技術說明
ColdFusion 11 更新 15 全部
2 技術說明

註解:

上述技術說明提到的安全性更新需要使用 JDK 8u121 或更高版本 (適用於 ColdFusion 2016) 與 JDK 7u131 或 JDK 8u121 (適用於 ColdFusion 11)。Adobe 建議您將 ColdFusion JDK/JRE 更新至最新版本。在沒有相應 JDK 更新的情況下套用 ColdFusion 更新將無法保護伺服器的安全。如需詳細資訊,請參閱相關的技術說明。

Adobe 也建議客戶套用 ColdFusion 安全性頁面所述的安全性組態設定,並檢閱個別的鎖定指南。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
不信任資料的還原序列化 執行任意程式碼 重大

CVE-2018-15965 

CVE-2018-15957 

CVE-2018-15958

CVE-2018-15959

使用帶有已知弱點的元件 資訊揭露 中度 CVE-2018-15964
安全性略過 任意建立檔案夾 重要 CVE-2018-15963
目錄清單 資訊揭露 重要 CVE-2018-15962
檔案上傳不受限制 執行任意程式碼 重大 CVE-2018-15961
使用帶有已知弱點的元件 任意覆寫檔案 重大 CVE-2018-15960

鳴謝

Adobe 在此感謝以下個人和組織提報這些問題,並與 Adobe 合作協助保護客戶的安全:

  • Code White GmbH 的 Matthias Kaiser (CVE-2018-15957, )
  • Venustech-Adlab 的 Gsrc (CVE-2018-15958、CVE-2018-15959)
  • Foundeo 的 Pete Freitag (CVE-2018-15960、CVE-2018-15961、CVE-2018-15962、CVE-2018-15963、CVE-2018-15964)
  • Cognitous Ltd 的 Nick Bloor (CVE-2018-15965)

ColdFusion JDK 需求

COLDFUSION 2018 HF1

針對應用程式伺服器

在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"。

例如:

Apache Tomcat 應用程式伺服器: 編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS

WebLogic 應用程式伺服器: 編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS

WildFly/EAP 應用程式: 編輯「standalone.conf」檔案中的 JAVA_OPTS

請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標。

COLDFUSION 2016 HF7

此更新要求 JDK 8u121 或更高版本的 ColdFusion。   Adobe 建議您必須將 ColdFusion JDK/JRE 手動更新至最新版本。若您沒有更新 JDK/JRE,僅套用更新將無法為伺服器提供防護。 

針對應用程式伺服器

此外,在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"。  

例如:          

在 Apache Tomcat 應用程式伺服器上,編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS。

在 WebLogic 應用程式伺服器上,編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS。

在 WildFly/EAP 應用程式上,編輯「standalone.conf」檔案中的 JAVA_OPTS。

請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標

COLDFUSION 11 HF15

此安全性更新要求 JDK 7u131 或 JDK 8u121 或更高版本的 ColdFusion。   Adobe 建議您必須將 ColdFusion JDK/JRE 手動更新至最新版本。若您沒有更新 JDK/JRE,僅套用更新將無法為伺服器提供防護。

針對應用程式伺服器

此外,在安裝 J2EE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"。  

例如:  

在 Apache Tomcat 應用程式伺服器上,編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS。

在 WebLogic 應用程式伺服器上,編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS。

在 WildFly/EAP 應用程式上,編輯「standalone.conf」檔案中的 JAVA_OPTS。

請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標

Adobe 免責聲明

授權協議

使用 Adobe Systems Incorporated 或其子公司 (下稱「Adobe」) 之軟體,即代表您同意遵守以下條款及條件。若您不同意該條款及條件,請勿使用本軟體。安裝或下載特定軟體時,隨附之使用者授權合約條款,將取代以下的條款。

Adobe 軟體產品的出口及再出口,皆受到美國出口管理規範 (US Export Administration Regulations) 之管控,且該軟體不得出口或再出口至古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞,或其他任何美國禁止通商的國家。另外,Adobe 軟體也不得分發給列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上之人士。

下載或使用 Adobe 軟體產品代表您保證自己並非古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞,或其他任何美國禁止通商的國家之國民,且您未被列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上。若該軟體專為與 Adobe 發行之應用程式軟體產品 (下稱「主應用程式」) 搭配使用,Adobe 會授與您一份非專屬授權書,與主應用程式一起使用該軟體,但您必須擁有 Adobe 對主應用程式之有效授權書。除以下規定,該軟體的授權尚受到 Adobe 對主應用程式的使用者授權合約之條款及條件的限制。

不為瑕疵擔保之聲明:您同意 Adobe 未對本軟體做出明示擔保,且同意本軟體僅以「現狀」提供,不含任何擔保。Adobe 不為本軟體之瑕疵作出明示或默示擔保,包含但不限於所有適合特定用途、市售性、市售品質或不侵害第三方權益之保證。由於部分州或司法管轄區不允許排除默示擔保,因此上述限制可能不適用於您。

責任限額:Adobe 無需在任何情況下對您無法使用、業務中斷,或任何直接、間接、特別、附隨或衍生性損害負責 (包括利潤損失),無論合約、侵權行為 (包括疏忽)、嚴格產品責任或其他的行為形式亦同,即使 Adobe 已預先獲知可能發生此等損害,仍無責任。由於部分州或司法管轄區不允許排除或限制突發或附隨損害,因此上述限制可能不適用於您。