公開日:2013年1月4日

脆弱性識別番号:APSA13-01

優先度: 1

CVE番号:CVE-2013-0625、CVE-2013-0629、CVE-2013-0631

プラットフォーム:すべて

概要

アドビはWindows版、Macintosh版、UNIX版のColdFusionに影響する3件の脆弱性が存在することを確認しました。

  • CVE-2013-0625は、ColdFusion 10、9.0.2、9.0.1および9.0に影響を及ぼし、これによって権限のないユーザーがリモートから認証制御を逃れ、潜在的に攻撃者が対象サーバーを制御できるようになるおそれがあります。
  • CVE-2013-0629は、ColdFusion 10, 9.0.2, 9.0.1および9.0に影響を及ぼし、これによって権限のないユーザーが制限されたディレクトリにアクセスできるようになるおそれがあります。
  • CVE-2013-0631は、ColdFusion 9.0.2, 9.0.1および9.0に影響を及ぼし、これによって対象サーバーから情報が開示されるおそれがあります。

上記脆弱性は、ColdFusionをご利用のお客様に対して悪用されていることが確認されています。CVE-2013-0625およびCVE-2013-0629は、パスワード保護を有効にしていないか、あるいはパスワードを設定していないColdFusionをご利用のお客様にのみ影響することにご注意ください。

アドビはこれらの問題に対する修正の最終過程にあり、Windows版、Macintosh版、UNIX版のColdFusion 10、9.0.2、9.0.1および9.0用のホットフィックスを2013年1月15日に公開する予定です。

影響を受けるソフトウェアとバージョン

Windows版、Macintosh版、UNIX版のColdFusion 10、9.0.2、9.0.1および9.0

緩和策

アドビは、上記脆弱性を緩和するために、ColdFusionをご利用のお客様に以下に示す手順をお取り頂くことを推奨致します。

  • リモート開発サービス(RDS)を使用するためのユーザー名、およびパスワードを設定します。これらの認証情報は管理者とは異なるものとすることを推奨します。ユーザー名、およびパスワードを設定した後、RDSを無効にすることを推奨します。
  • ホストされたサイトでは下記ディレクトリへの外部アクセスを無効にします。
    /CFIDE/administrator
    /CFIDE/adminapi
    /CFIDE/componentutils
  • CFIDEあるいはWebルートディレクトリから、不明または不要なColdFusionコンポーネントあるいはテンプレートを削除します。
  • Administratorコンソールを使用して(ColdFusionバージョン10)、あるいはバージョン9.0.2以下に関してはご利用のWebサーバーのアクセス制御機能にて、Administratorインターフェイスおよび内部アプリケーションに対するアクセス制御制限を実施します。
  • ご利用のColdFusionに最新のホットフィックスが適用されていることを確実にします。
  • セキュリティベストプラクティスおよびこれらのセキュリティ強化テクニックに関する詳細な情報について、ColdFusion 9ロックダウンガイド*およびColdFusion 10ロックダウンガイド*をご参照ください。

緊急度

アドビは、このアップデートの優先度を次のように評価します。

製品名 更新後のバージョン プラットフォーム 優先度
ColdFusion 10、9.0.2、9.0.1、9.0 Windows、Macintosh、UNIX 1

アドビは、この問題をクリティカルな案件と分類しています。

詳細

アドビはWindows版、Macintosh版、UNIX版のColdFusionに影響する3件の脆弱性が存在することを確認しました。

  • CVE-2013-0625は、ColdFusion 10、9.0.2、9.0.1および9.0に影響を及ぼし、これによって権限のないユーザーがリモートから認証制御を逃れ、潜在的に攻撃者が対象サーバーを制御できるようになるおそれがあります。


  • CVE-2013-0629は、ColdFusion 10, 9.0.2, 9.0.1および9.0に影響を及ぼし、これによって権限のないユーザーが制限されたディレクトリにアクセスできるようになるおそれがあります。
  • CVE-2013-0631は、ColdFusion 9.0.2, 9.0.1および9.0に影響を及ぼし、これによって対象サーバーから情報が開示されるおそれがあります。

上記脆弱性は、ColdFusionをご利用のお客様に対して悪用されていることが確認されています。CVE-2013-0625およびCVE-2013-0629は、パスワード保護を有効にしていないか、あるいはパスワードを設定していないColdFusionをご利用のお客様にのみ影響することにご注意ください。

アドビはこれらの問題に対する修正の最終過程にあり、Windows版、Macintosh版、UNIX版のColdFusion 10、9.0.2、9.0.1および9.0用のホットフィックスを2013年1月15日に公開する予定です。

最新情報につきまして、Adobe Product Security Incident Response Teamブログ*を http://blogs.adobe.com/psirt にてご覧頂くか、あるいは http://blogs.adobe.com/psirt/atom.xml をRSSフィードでご購読頂けます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー