Data di pubblicazione: 10 maggio 2016
Ultimo aggiornamento:10 giugno 2016
Identificatore di vulnerabilità: APSB16-16
Priorità: 2
Codici CVE: CVE-2016-1113, CVE-2016-1114, CVE-2016-1115
Piattaforme: tutte
Adobe ha rilasciato alcune correzioni rapide di sicurezza per ColdFusion, versioni 10, 11 e 2016. Queste correzioni rapide risolvono un problema di convalida dell'input (CVE-2016-1113), un problema di verifica di nome host tramite certificati jolly (CVE-2016-1115) e include una versione aggiornata della libreria Apache Commons Collections per ridurre la deserializzazione Java (CVE-2016-1114).
Adobe consiglia ai clienti di utilizzare la correzione rapida adeguata, utilizzando le istruzioni disponibili nella sezione "Soluzione" riportata di seguito.
Prodotto | Versioni interessate | Piattaforma |
---|---|---|
ColdFusion (versione 2016) | 2016.0.0 | Tutte |
ColdFusion 11 | Aggiornamento 7 e versioni precedenti | Tutte |
ColdFusion 10 | Aggiornamento 18 e versioni precedenti | Tutte |
Adobe classifica questa correzione rapida in base ai seguenti livelli di priorità e consiglia agli utenti interessati di eseguire l'aggiornamento delle proprie installazioni alle versioni più recenti:
Prodotto | Versione correzione rapida | Piattaforma | Livello di priorità | Disponibilità |
---|---|---|---|---|
ColdFusion (versione 2016) | Aggiornamento 1 | Tutte | 2 | Nota tecnica |
ColdFusion 11 | Aggiornamento 8 | Tutte |
2 | Nota tecnica |
ColdFusion 10 | Aggiornamento 19 | Tutte | 2 | Nota tecnica |
Adobe consiglia agli utenti di ColdFusion di aggiornare le versioni in uso seguendo le istruzioni fornite nella nota tecnica importante:
- ColdFusion 2016: http://helpx.adobe.com/it/coldfusion/kb/coldfusion-2016-update-1.html
- ColdFusion 11: http://helpx.adobe.com/it/coldfusion/kb/coldfusion-11-update-8.html
- ColdFusion 10: http://helpx.adobe.com/it/coldfusion/kb/coldfusion-10-update-19.html
Si consiglia inoltre di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.
- Queste correzioni rapide risolvono un problema importante di convalida dell'input (CVE-2016-1113) che potrebbe essere abusato per eseguire attacchi di cross-site scripting.
- Queste correzioni rapide includono una versione aggiornata della libreria Apache Commons Collections per ridurre un'importante vulnerabilità di deserializzazione Java (CVE-2016-1114).
- Queste correzioni rapide risolvono un problema moderato di verifica di nome host che influisce sui certificati jolly (CVE-2016-1115).
Adobe desidera ringraziare i singoli utenti e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Andrew Bonstrom (CVE-2016-1113)
- Aaron Foote (CVE-2016-1114)
- Pete Freitag di Foundeo Inc (CVE-2016-1115)
10 giugno 2016: è stato aggiunto un ringraziamento a Aaron Foote per aver segnalato la vulnerabilità CVE-2016-1114.
Contratto di licenza
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.