この公開文書は、「Security update: Hotfix available for ColdFusion*」の抄訳です。

リリース日 : 2013 年 5 月 14 日
脆弱性識別番号 : APSB13-13
優先度 : 1
CVE 番号 : CVE-2013-1389、CVE-2013-3336
プラットフォーム : すべて

概要

Windows、Macintosh および UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 以前のバージョンを対象としたセキュリティアップデートが公開されました。このアップデートにより、ColdFusion を実行するシステムにおいて、遠隔操作で任意コードが実行される脆弱性(CVE-2013-1389)、および不正ユーザーの遠隔操作によってサーバー上に格納されたファイルを取り出せるようになる脆弱性(CVE-2013-3336)が修正されます。
 

弊社では CVE-2013-3336 (APSA13-03: ColdFusion のセキュリティ情報 参照)について、実際に攻撃が行われていることが報告されています。以下の解決方法のセクションで説明される指示に従い、製品インストールのアップデートを推奨します。

影響を受けるソフトウェアとバージョン

Windows、Macintosh、UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0

解決方法

ColdFusion を使用するユーザーは以下の技術文書で説明されている手順でアップデートすることを推奨します。

http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-13.html

セキュリティの管理ページ同様に ColdFusion 10 Lockdown Guide 、または ColdFusion 9 Lockdown Guide を参照し、説明しているセキュリティ構造の設定も適用してください。

優先度と緊急度

弊社は、この問題の優先度を以下のように分類し、すべてのユーザーに対して最新バージョンにアップデートすることを推奨します。

ColdFusion バージョン アップデートバージョン   プラットフォーム 優先度
10   アップデート 10 すべて 1
9.0.2   アップデート 5   すべて 1
9.0.1   アップデート 10 すべて 1
9.0   アップデート 11   すべて 1

これらのアップデートにより、製品のクリティカルな脆弱性が修正されます。

詳細

Windows、Macintosh および UNIX 版 ColdFusion 10/9.0.2/9.0.1 および 9.0 以前のバージョンを対象としたセキュリティアップデートが公開されました。このアップデートにより、ColdFusion を実行するシステムにおいて遠隔操作で任意コードが実行される脆弱性(CVE-2013-1389)、および不正ユーザーの遠隔操作によってサーバー上に格納されたファイルを取り出せるようになる脆弱性(CVE-2013-3336)が修正されます。

CVE-2013-3336 (APSA13-03: ColdFusion のセキュリティ情報参照)について、実際に攻撃が行われていることが報告されています。以下の解決方法のセクションで説明される指示に従い、製品インストールのアップデートを推奨します。

このアップデートは、ColdFusion を実行するシステムにおいて不正ユーザーによる任意コードの実行を
リモートで実行される原因になりかねない脆弱性を解消します(CVE-2013-1389)

このアップデートは、不正ユーザーの遠隔操作によってサーバー上に格納されたファイルを取り出せるようになる脆弱性を解消します(CVE-2013-3336)

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • CERT Coordination Center を介して問題を指摘していただいたTenable Network Security 様 (CVE-2013-1389)
  • Symantec Security Response の Marcin Siedlarz 様 (CVE-2013-3336)

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー