この公開文書は、「Security update: Hotfix available for ColdFusion*」の抄訳です。

リリース日 : 2013 年 11 月 12 日

脆弱性識別番号 : APSB13-27

優先度下記を参照

CVE 番号 : CVE-2013-5326、CVE-2013-5328

プラットフォーム : すべて

概要

Windows、Macintosh および Linux 版 ColdFusion 10、9.0.2、9.0.1 および 9.0 以前のバージョンを対象としたセキュリティアップデートが公開されました。CFIDE ディレクトリが公開されている場合、ColdFusion 10 のリモート認証済ユーザーによって不正アクセスを受ける可能性のある、クロスサイトスクリプティングの脆弱性(CVE-2013-5326)が修正されます。

またこの hotfix により、ColdFusion 10 において権限のないリモート読み取りアクセスを受ける可能性のある脆弱性(CVE-2013-5328)も修正されます。

アドビは、以下の解決方法の手順に従って、インストール済み製品に対してアップデートを適用することを推奨します。

影響を受けるソフトウェアとバージョン

Windows版、Macintosh および Linux 版の ColdFusion 10、9.0.2、9.0.1、9.0

解決方法

ColdFusion を使用するユーザーは以下の技術文書で説明されている手順でアップデートすることを推奨します。

http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-27.html

セキュリティの管理ページ同様に ColdFusion 10 Lockdown Guide 、または ColdFusion 9 Lockdown Guide を参照し、説明しているセキュリティ構造の設定も適用してください。

優先度と緊急度

弊社は、この問題の優先度を以下のように分類し、すべてのユーザーに対して最新バージョンにアップデートすることを推奨します。

ColdFusion のバージョン アップデーターのバージョン プラットフォーム 優先度
10 Update 12 すべて 1
9.0.2 Update 6 すべて 2
9.0.1 Update 11 すべて 2
9.0 Update 12 すべて 2

この hotfix により、重要なクロスサイトスクリプティングの脆弱性、およびクリティカルなリモート読み取りの脆弱性が修正されます。

解決方法

Windows、Macintosh および Linux 版 ColdFusion 10、9.0.2、9.0.1 および 9.0 以前のバージョンを対象としたセキュリティアップデートが公開されました。CFIDE ディレクトリが公開されている場合、ColdFusion 10 のリモート認証済ユーザーによって不正アクセスを受ける可能性のある、クロスサイトスクリプティングの脆弱性(CVE-2013-5326)が修正されます。

またこの hotfix により、ColdFusion 10 において権限のないリモート読み取りアクセスを受ける可能性のある脆弱性(CVE-2013-5328)も修正されます。

アドビは、上記の解決方法の手順に従って、インストール済み製品に対してアップデートを適用することを推奨します。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー