Bollettino sulla sicurezza di Adobe
Aggiornamenti di sicurezza disponibili per ColdFusion | APSB18-14
ID bollettino Data di pubblicazione Priorità
APSB18-14 10 aprile 2018 2

Adobe ha rilasciato aggiornamenti di sicurezza per ColdFusion versione 11 e release 2016. Questi aggiornamenti risolvono un'importante vulnerabilità Caricamento della libreria non sicuro (CVE -2018-4938), un'importante vulnerabilità di scripting tra siti che potrebbe provocare un'aggiunta di codice (CVE -2018-4940) e un'importante vulnerabilità di scripting tra siti che potrebbe causare la diffusione di informazioni (CVE -2018-4941). Questi aggiornamenti includono anche una riduzione di una vulnerabilità critica relativa alla deserializzazione Java non sicura (CVE -2018-4939) e una riduzione di una vulnerabilità critica relativa all'analisi XML non sicura (CVE -2018-4942).

Versioni interessate

Prodotto Versioni interessate Piattaforma
ColdFusion (versione 2016) Aggiornamento 5 e versioni precedenti Tutte
ColdFusion 11 Aggiornamento 13 e versioni precedenti Tutte

Soluzione

Adobe classifica questo aggiornamento rapida in base ai seguenti livelli di priorità e consiglia agli utenti interessati di eseguire l'aggiornamento delle proprie installazioni alle versioni più recenti:

Prodotto Versione aggiornata Piattaforma Livello di priorità Disponibilità
ColdFusion (versione 2016) Aggiornamento 6 Tutte 2 Nota tecnica
ColdFusion 11 Aggiornamento 14 Tutte
2 Nota tecnica

Nota:

Gli aggiornamenti di sicurezza segnalati nelle note tecniche precedenti richiedono JDK 8u121 o versioni successive (per ColdFusion 2016) e JDK 7u131 o JDK 8u121 (per ColdFusion 11). Adobe consiglia di aggiornare il JDK/JRE di ColdFusion alla versione più recente. L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server. Consulta le note tecniche necessarie per ulteriori informazioni.

Si consiglia inoltre di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codici CVE
Caricamento della libreria non sicuro Riassegnazione dei privilegi locali Importante CVE-2018-4938
Deserializzazione di dati non affidabili Esecuzione di codice remoto Critico CVE-2018-4939
Cross-site scripting Divulgazione di informazioni Importante CVE-2018-4940
Cross-site scripting Divulgazione di informazioni Importante CVE-2018-4941
Elaborazione non sicura di entità esterne XML Divulgazione di informazioni Critico CVE-2018-4942

Ringraziamenti

Adobe desidera ringraziare i singoli utenti e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor di NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman e Michael S. O'Dell di USRA (CVE-2018-4941)
  • Matthias Kaiser di Code White GmbH (CVE-2018-4942)

Requisiti JDK di ColdFusion

COLDFUSION 2016 HF6

Questo aggiornamento della sicurezza richiede che ColdFusion disponga di JDK 8u121 o successivo. Adobe consiglia di aggiornare il JDK/JRE di ColdFusion alla versione più recente. L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server.

Per i server di applicazioni

Inoltre, sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.

Ad esempio:

Sul server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Sul server applicazioni WebLogic modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Su un server applicazioni WildFly/EAP modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.

COLDFUSION 11 HF14

Questo aggiornamento della sicurezza richiede che ColdFusion disponga di JDK 7u131 o JDK 8u121 o versione successiva.

Adobe consiglia di aggiornare il JDK/JRE di ColdFusion alla versione più recente. L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server.

Per i server di applicazioni

Inoltre, sulle installazioni J2EE, imposta il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.

Ad esempio:

Sul server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Sul server applicazioni WebLogic modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Su un server applicazioni WildFly/EAP modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.

Dichiarazione di non responsabilità di Adobe

Contratto di licenza

L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.

L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.

Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.

ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.

LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.