セキュリティアップデート: ColdFusion 用ホットフィックス公開

リリース日: 2016 年 8 月 30 日

最終更新日: 2016 年 9 月 1 日

脆弱性識別番号: APSB16-30

優先度: 1

CVE番号: CVE-2016-4264

プラットフォーム:すべて

概要

ColdFusion バージョン 10 および 11 用のセキュリティホットフィックスが公開されました。これらのアップデートは、情報漏えいの原因になりかねない、重大な脆弱性を解消します(CVE-2016-4264)。

ご利用のお客様には、以下の「解決方法」の指示に従い、適切なホットフィックスを適用することを推奨します。

対象のバージョン

製品名 対象のバージョン プラットフォーム
ColdFusion 11 アップデート 9 とそれ以前のバージョン すべて
ColdFusion 10 アップデート 20 とそれ以前のバージョン すべて

注意:ColdFusion 2016 リリースは CVE-2016-4264 の対象ではありません。 

解決方法

アドビは、このホットフィックスの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップデートを推奨します。

製品名 Hotfixバージョン プラットフォーム 優先度評価 入手方法
ColdFusion 11 アップデート10 すべて
1 テクニカルノート
ColdFusion 10 アップデート21 すべて 1 テクニカルノート

影響を受けるバージョンのColdFusionをご利用のお客様には、次のテクニカルノートの手順に従ってアップデートを適用することを推奨します。関連する技術ノート:

また、ColdFusion セキュリティページに記載のセキュリティ設定を適用するとともに、該当するロックダウンガイドを参照することを推奨します。

脆弱性に関する詳細

これらのホットフィックスは、情報漏洩の原因になりかねない、細工された XML エンティティの解析に関連する問題を解決します(CVE-2016-4264)。

謝辞

この問題(CVE-2016-4264)を指摘し、ユーザーの保護にご協力いただいた http://legalhackers.com の Dawid Golunski 氏にアドビより厚く御礼を申し上げます。

更新履歴

2016 年 9 月 1 日:アドビでは、9 月 1 日現在、公開 POC コードついて把握しています。これらの修正プログラムの優先度を優先度 2 から優先度 1 に変更しました。アドビの優先度とセキュリティ緊急度の詳細については、こちら(https://helpx.adobe.com/jp/security/severity-ratings.html)を参照してください。      

免責条項

使用許諾契約

Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。

アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。

アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。

保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。

有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。