安全性公告 ID
上次更新時間
2021年10月27日
Adobe ColdFusion 發佈安全性更新 | APSB21-75
|
|
發佈日期 |
優先順序 |
|
APSB21-75 |
2021 年 9 月 14 日 |
2 |
摘要
Adobe 已發佈 ColdFusion 2021 和 2018 版的安全性更新。這些更新旨在解決可能導致系統無故略過安全功能的多項重大弱點。
受影響的版本
|
產品 |
更新編號 |
平台 |
|
ColdFusion 2018 |
更新 11 和舊版 |
全部 |
|
ColdFusion 2021 |
1 版 (含) 以前版本 |
全部 |
解決方法
Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:
註解:
Adobe 建議您將 ColdFusion JDK/JRE 更新到適用於 1.8 和 JDK 11 的 LTS 最新版本。在沒有相應 JDK 更新的情況下套用 ColdFusion 更新將無法保護伺服器的安全。 如需詳細資訊,請參閱相關的技術說明。
Adobe 也建議客戶套用 ColdFusion 安全性頁面所列的安全性組態設定,並檢閱個別的鎖定指南。
弱點詳細資料
鳴謝
Adobe 在此感謝以下人員回報這些問題,與 Adobe 共同保護我們的客戶:
- Brian Reilly (CVE-2021-40699)
- Rockwell, Edward J (CVE-2021-40698)
ColdFusion JDK 需求
COLDFUSION 2021 (版本 2021.0.0.323925) 及更高版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:"-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.
COLDFUSION 2018 HF1 及更高版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:"-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.
Adobe 免責聲明
授權協議
使用 Adobe Incorporated 或其子公司 (下稱「Adobe」) 之軟體,即代表您同意遵守以下條款及條件。若您不同意該條款及條件,請勿使用本軟體。安裝或下載特定軟體時,隨附之使用者授權合約條款,將取代以下的條款。
Adobe 軟體產品的出口及再出口,皆受到美國出口管理規範 (US Export Administration Regulations) 之管控,且該軟體不得出口或再出口至古巴、伊朗、北韓、敘利亞和烏克蘭的克里米亞地區,或其他任何美國禁止通商的國家。另外,Adobe 軟體也不得分發給列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上之人士。
下載或使用 Adobe 軟體產品代表您保證自己並非古巴、伊朗、北韓、敘利亞和烏克蘭的克里米亞地區,或其他任何美國禁止通商的國家之國民,且您未被列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」(Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上。若該軟體專為與 Adobe 發行之應用程式軟體產品 (下稱「主應用程式」) 搭配使用,Adobe 會授與您一份非專屬授權書,與主應用程式一起使用該軟體,但您必須擁有 Adobe 對主應用程式之有效授權書。除以下規定,該軟體的授權尚受到 Adobe 對主應用程式的使用者授權合約之條款及條件的限制。
不為瑕疵擔保之聲明:您同意 Adobe 未對本軟體做出明示擔保,且同意本軟體僅以「現狀」提供,不含任何擔保。Adobe 不為本軟體之瑕疵作出明示或默示擔保,包含但不限於所有適合特定用途、適售性、適售品質或不侵害第三方權益之保證。由於部分州或司法管轄區不允許排除默示擔保,因此上述限制可能不適用於您。
責任限額:Adobe 無需在任何情況下對您無法使用、業務中斷,或任何直接、間接、特別、附隨或衍生性損害負責 (包括利潤損失),無論合約、侵權行為 (包括疏忽)、嚴格產品責任或其他的行為形式亦同,即使 Adobe 已預先獲知可能發生此等損害,仍無責任。由於部分州或司法管轄區不允許排除或限制突發或附隨損害,因此上述限制可能不適用於您。
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。
