ColdFusion에 사용할 수 있는 보안 업데이트 | APSB18-14
게시판 ID 게시 날짜 우선 순위
APSB18-14 2018년 4월 10일 2

요약

Adobe는 ColdFusion 버전 11 및 2016 릴리스용 보안 업데이트를 출시했습니다. 이러한 업데이트로 중요한 안전하지 않은 라이브러리 로드 취약점(CVE-2018-4938), 코드가 삽입될 수 있는 중요한 사이트 간 스크립팅 취약점(CVE-2018-4940) 및 정보가 노출될 수 있는 중요한 사이트 간 스크립팅 취약점(CVE-2018-4941)을 해결할 수 있습니다. 이러한 업데이트에는 치명적인 안전하지 않은 Java 역직렬화 취약점(CVE-2018-4939) 및 치명적인 안전하지 않은 XML 구문 분석 취약점(CVE-2018-4942)에 대한 완화가 포함되어 있습니다.

해당하는 버전

제품 해당하는 버전 플랫폼
ColdFusion(2016 릴리스) 업데이트 5 및 이전 버전 모두
ColdFusion 11 업데이트 13 및 이전 버전 모두

해결 방법

Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 설치를 최신 버전으로 업데이트할 것을 권장합니다.

제품 업데이트 버전 플랫폼 우선 순위 등급 사용 가능성
ColdFusion(2016 릴리스) 업데이트 6 모두 2 TechNote
ColdFusion 11 업데이트 14 모두
2 TechNote

참고:

위의 TechNote에 언급된 보안 업데이트를 사용하려면 JDK 8u121 이상(ColdFusion 2016의 경우) 및 JDK 7u131 또는 JDK 8u121(ColdFusion 11의 경우)이 필요합니다. ColdFusion JDK/JRE를 최신 버전으로 업데이트하는 것이 좋습니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다. 자세한 내용은 관련 TechNote를 참조하십시오.

또한 고객은 ColdFusion 보안 페이지에 요약된 대로 보안 구성 설정을 적용하고, 해당 Lockdown 안내서를 검토해야 합니다.

취약성 세부 정보

취약성 카테고리 취약성 영향 심각도 CVE 번호
안전하지 않은 라이브러리 로드 로컬 권한 에스컬레이션 중요 CVE-2018-4938
신뢰할 수 없는 데이터의 비일련화 원격 코드 실행 치명적 CVE-2018-4939
사이트 간 스크립팅 정보 공개 중요 CVE-2018-4940
사이트 간 스크립팅 정보 공개 중요 CVE-2018-4941
안전하지 않은 XML 외부 엔티티 처리 정보 공개 치명적 CVE-2018-4942

감사의 말

Adobe는 이러한 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.

  • Nitesh Shilpkar(CVE-2018-4938)
  • NCC 그룹의 Nick Bloor(CVE-2018-4939)
  • Jaaziel Sam Carlos(CVE-2018-4940)
  • USRA의 William Eatman 및 Michael S. O'Dell(CVE-2018-4941)
  • Code White GmbH의 Matthias Kaiser(CVE-2018-4942)

ColdFusion JDK 요구 사항

COLDFUSION 2016 HF6

이 보안 업데이트를 사용하려면 ColdFusion이 JDK 8u121 이상이어야 합니다. ColdFusion JDK/JRE를 최신 버전으로 업데이트하는 것이 좋습니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다.

응용 프로그램 서버

또한 JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**"를 설정합니다.

예를 들면 다음과 같습니다.

Apache Tomcat Application Server에서 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.

WebLogic Application Server에서 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.

WildFly/EAP Application Server에서 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.

독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.

COLDFUSION 11 HF14

이 보안 업데이트를 사용하려면 ColdFusion이 JDK 7u131 또는 JDK 8u121 이상이어야 합니다.

ColdFusion JDK/JRE를 최신 버전으로 업데이트하는 것이 좋습니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다.

응용 프로그램 서버

또한 J2EE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**"를 설정합니다.

예를 들면 다음과 같습니다.

Apache Tomcat Application Server에서 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.

WebLogic Application Server에서 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.

WildFly/EAP Application Server에서 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.

독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.

Adobe 부인

사용권 계약

Adobe Systems Incorporated 또는 그 자회사(이하 "Adobe")의 소프트웨어를 사용하는 것은 다음 약관에 동의한다는 의미입니다. 이러한 약관에 동의하지 않는 경우 소프트웨어를 사용하지 마십시오. 소프트웨어의 설치 또는 다운로드 시 특정 소프트웨어 파일이 수반되는 최종 사용자 사용권 계약의 약관은 아래 약관을 대체합니다.

Adobe 소프트웨어 제품의 수출 및 재수출은 미국 수출 관리 규정에 따르며 이러한 소프트웨어는 쿠바, 이란, 이라크, 리비아, 북한, 수단 또는 시리아 및 기타 미국의 수출 금지 규정이 적용되는 국가로 수출 또는 재수출할 수 없습니다. 또한 Adobe 소프트웨어를 주문승인 거부대상 명단, 규정 명단 또는 요주의 국가 명단에 포함된 사람에게 배포할 수 없습니다.

Adobe 소프트웨어 제품을 다운로드하여 사용하는 것은 귀하가 쿠바, 이란, 이라크, 리비아, 북한, 수단 또는 시리아 및 기타 미국의 수출 금지 규정이 적용되는 국가의 국적을 갖고 있거나 주문승인 거부대상 명단, 규정 명단 또는 요주의 국가 명단에 포함된 사람이 아님을 증명하는 것을 의미합니다. 소프트웨어가 Adobe에서 게시한 애플리케이션 소프트웨어 제품(이하 "호스트 애플리케이션")과 함께 사용하도록 만들어진 경우 Adobe는 귀하가 호스트 애플리케이션에 대한 Adobe의 유효한 라이선스를 소유한 경우, 호스트 애플리케이션과 함께 사용하기 위한 목적에 한해서만 이러한 소프트웨어에 대해 비독점적인 라이선스를 부여합니다. 아래 설명된 내용 이외에 이러한 소프트웨어는 귀하의 호스트 애플리케이션 사용을 규정하는 Adobe의 최종 사용자 사용권 계약의 약관의 적용을 받습니다.

보증의 부인: 귀하는 소프트웨어 및 소프트웨어가 어떠한 종류의 보증도 없이 "있는 그대로" 제공된다는 사실과 관련하여 귀하에게 어떠한 명시적 보증도 하지 않음에 동의합니다. Adobe는 특정 목적에의 적합성, 상업성, 상품 품질 또는 타사 권리의 비침해성에 대한 모든 묵시적 보증을 포함하여(이에 제한되지 않음) 소프트웨어에 관련된 모든 명시적 또는 묵시적 보증을 부인합니다. 일부 주 또는 관할지에서는 묵시적 보증의 배제를 허용하지 않으므로 위의 제한은 귀하에게 적용되지 않을 수 있습니다.

책임의 제한: Adobe는 어떠한 경우에도 사용 손실, 영업 중단 또는 모든 종류의 직접적, 간접적, 특수적, 우연적 또는 필연적 손해(이익 손실 포함), 불법 행위(과실 포함), 엄격한 제품 책임 또는 그 밖의 행위에 대해 계약서에 명시되었는지 여부에 관계없이 책임을 지지 않으며, 이는 Adobe가 이러한 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 주 또는 관할지에서는 부수적 또는 필연적 손해의 배제 또는 제한을 허용하지 않으므로 위의 제한 또는 배제는 귀하에게 적용되지 않을 수 있습니다.