Boletín de seguridad de Adobe
Actualizaciones de seguridad disponibles para ColdFusion | APSB18-14
ID del boletín Fecha de publicación Prioridad
APSB18-14 10/04/2018 2

Resumen

Adobe ha publicado actualizaciones de seguridad para la versión 11 de ColdFusion y la versión 2016. Estas actualizaciones solucionan una vulnerabilidad de carga de la biblioteca no segura (CVE-2018-4938)importante, una vulnerabilidad de ataques mediante secuencias de comandos en sitios cruzados importante que podría dar lugar a la inserción del código (CVE-2018-4940) y una vulnerabilidad de ataques mediante secuencias de comandos en sitios cruzados importante que puede provocar la divulgación de información (CVE-2018-4941). Estas actualizaciones también incluyen la mitigación de una vulnerabilidad de deserialización Java no segura crítica (CVE-2018-4939) y la mitigación de una vulnerabilidad de análisis XML no seguro crítica (CVE-2018-4942).

Versiones afectadas

Producto Versiones afectadas Plataforma
ColdFusion (versión de 2016) Actualización 5 y versiones anteriores Todas
ColdFusion 11 Actualización 13 y versiones anteriores Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión actualizada Plataforma Nivel de prioridad Disponibilidad
ColdFusion (versión de 2016) Actualización 6 Todas 2 Nota técnica
ColdFusion 11 Actualización 14 Todas
2 Nota técnica

Nota:

Las actualizaciones de seguridad mencionadas en las notas técnicas anteriores necesitan JDK 8u121 o versiones posteriores (para ColdFusion 2016) y JDK 7u131 o JDK 8u121 (para ColdFusion 11). Adobe recomienda actualizar el JDK/JRE de ColdFusion a la versión más reciente. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor. Consulte las notas técnicas relevantes para obtener más detalles.

Los clientes también deben aplicar los ajustes de configuración de seguridad de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Números CVE
Carga de biblioteca no segura Ampliación de privilegios local Importante CVE-2018-4938
Deserialización de datos que no son de confianza Ejecución de código de forma remota Crítico CVE-2018-4939
Ataques mediante secuencias de comandos en sitios cruzados Divulgación de información Importante CVE-2018-4940
Ataques mediante secuencias de comandos en sitios cruzados Divulgación de información Importante CVE-2018-4941
Procesamiento de entidades externas XML no seguro Divulgación de información Crítico CVE-2018-4942

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor de NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman y Michael S. O'Dell de USRA (CVE-2018-4941)
  • Matthias Kaiser de Code White GmbH (CVE-2018-4942)

Requisito de JDK de ColdFusion

COLDFUSION 2016 HF6

ColdFusion debe tener JDK 8u121 o versiones posteriores para esta actualización de seguridad. Adobe recomienda actualizar el JDK/JRE de ColdFusion a la versión más reciente. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor.

Para servidores de aplicaciones

Además, en instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

Por ejemplo:

En el servidor de aplicaciones Apache Tomcat, edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

En el servidor de aplicaciones WebLogic, edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

En el servidor de aplicaciones WildFly/EAP, edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.

COLDFUSION 11 HF14

ColdFusion debe tener JDK 7u131, JDK 8u121 o versiones posteriores para esta actualización de seguridad.

Adobe recomienda actualizar el JDK/JRE de ColdFusion a la versión más reciente. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor.

Para servidores de aplicaciones

Además, en instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

Por ejemplo:

En el servidor de aplicaciones Apache Tomcat, edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

En el servidor de aplicaciones WebLogic, edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

En el servidor de aplicaciones WildFly/EAP, edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.

Renuncia de Adobe

Acuerdo de licencia

Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"), aceptas los siguientes términos y condiciones. Si no estás de acuerdo con los siguientes términos y condiciones, no utilices el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos presentados a continuación.

La exportación y reexportación de productos de software Adobe están controladas por las leyes de exportación de los Estados Unidos y dicho software no debe exportarse ni reexportarse a Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo. Además, el software Adobe no debe distribuirse entre personas de la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.

Al descargar o utilizar un producto de software de Adobe, certificas que no eres ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo y que no eres una de las personas de la tabla de denegación de pedidos, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarlo con un producto de software de una aplicación (la "aplicación del host") publicado por Adobe, Adobe te garantiza una licencia no exclusiva para utilizar dicho software solo con la aplicación del host, siempre que poseas una licencia válida de Adobe para la aplicación del host. A excepción de lo establecido a continuación, se te otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.

RENUNCIA A LAS GARANTÍAS: ACEPTAS QUE ADOBE NO TE HA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE TE PROPORCIONA EL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUIDA, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIALIDAD, LA CALIDAD DE COMERCIALIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no se te apliquen.

LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ESTE SE INCLUYA EN EL CONTRATO, AGRAVIO (INCLUIDA LA NEGLIGENCIA), RESPONSABILIDAD ESTRICTA DEL PRODUCTO U OTROS, INCLUSO SI SE HA AVISADO A ADOBE DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no se te apliquen.