リリース日 : 2013 年 5 月 8 日

脆弱性識別番号 : APSA13-03

優先度 : 1

CVE 番号 : CVE-2013-3336

プラットフォーム : すべて

概要

アドビは、Windows、Macintosh および UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 以前のバージョンにおいて、クリティカルな脆弱性を確認しました。この脆弱性(CVE-2013-3336)により、不正ユーザーが遠隔操作によって、サーバー上に格納されたファイルを取り出せるようになります。

この脆弱性を悪用した事例が報告されています。CFIDE/administartor、CFIDE/adminapi および CFIDE/gettingstarted の各ディレクトリ(ColdFusion 9 Lockdown Guide および ColdFusion 10 Lockdown Guide にて説明されています)の公開が制限されている ColdFusion のお客様は、すでにこの問題への対処がなされている状態です。これらのステップをまだ適用していない場合、以下の設定を実施することにより、CVE-2013-3336 の脆弱性から保護することができます。

弊社は現在、この問題に対する修正の最終段階にあり、2013 年 5 月 14 日(米国時間)には、Windows、Macintosh、UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 用のホットフィックスを公開する予定です。

影響を受けるソフトウェアとバージョン

Windows、Macintosh、UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0

一時的な対処

アドビは、ColdFusion のお客様に対して、以下の方法で脆弱性の影響に対処することを推奨します。

詳細

アドビは、Windows、Macintosh および UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 以前のバージョンにおいて、クリティカルな脆弱性を確認しました。この脆弱性(CVE-2013-3336)により、不正ユーザーが遠隔操作によって、 サーバー上に格納されたファイルを取り出せるようになります。

この脆弱性を悪用した事例が報告されています。CFIDE/administartor、CFIDE/adminapi および CFIDE/gettingstarted の各ディレクトリ(ColdFusion 9 Lockdown Guide および ColdFusion 10 Lockdown Guide にて説明されています)の公開が制限されている ColdFusion のお客様は、すでにこの問題への対処がなされている状態です。これらのステップをまだ適用していない場合、以下の設定を実施することにより、CVE- 2013-3336 の脆弱性から保護することができます。

弊社は現在、この問題に対する修正の最終段階にあり、2013 年 5 月 14 日(米国時間)には、Windows、Macintosh、UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 用のホットフィックスを公開する予定です。

Adobe Product Security Incident Team のブログから最新の情報を取得することができます。

謝辞

ユーザーの保護にご協力いただいた Symantec Security Response の Marcin Siedlarz 氏に対して、アドビより厚く御礼を申し上げます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー