Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for ColdFusion | APSB18-14

Bulletin-ID

Dato publisert

Prioritet

APSB18-14

10. april 2018

2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 11 og 2016. Disse oppdateringene løser et viktig sikkerhetsproblem med usikker innlasting av bibliotek (CVE-2018-4938), et viktig sikkerhetsproblem med skripting på tvers av nettsteder som kan føre til kodeinjeksjon (CVE-2018-4940), og et viktig sikkerhetsproblem med skripting på tvers av nettsteder som kan føre til avsløring av informasjon (CVE-2018-4941). Disse oppdateringene inneholder også forsterking for et kritisk sikkerhetsproblem med usikker Java-deserialisering (CVE-2018-4939) og forsterking for et kritisk sikkerhetsproblem med usikker analyse av XML (CVE-2018-4942).

Berørte versjoner

Produkt

Berørte versjoner

Plattform

ColdFusion (2016-versjon)

Oppdatering 5 og tidligere versjoner

Alle

ColdFusion 11

Oppdatering 13 og tidligere versjoner

Alle

Løsning

Adobe kategoriserer denne oppdateringen med følgende prioritetsklassifisering og anbefaler at brukere oppdaterer installasjoner til de nyeste versjonene:

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

ColdFusion (2016-versjon)

Oppdatering 6

Alle

2

ColdFusion 11

Oppdatering 14

Alle

2

Merk:

Sikkerhetsoppdateringene som refereres i de tekniske merknadene ovenfor, krever JDK 8u121 eller nyere (for ColdFusion 2016) og JDK 7u131 eller JDK 8u121 (for ColdFusion 11). Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE til den nyeste versjonen, Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren. Hvis du vil ha mer informasjon, kan du se de relevante tekniske merknadene.

Kunder bør også bruke sikkerhetskonfigurasjonsinnstillingene som angitt på sikkerhetssiden for ColdFusion, samt lese gjennom de aktuelle låseveiledningene.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-numre

Usikker innlasting av bibliotek

Lokal rettighetsutvidelse

Viktig

CVE-2018-4938

Deserialisering av ikke-klarerte data

Ekstern kjøring av kode

Kritisk

CVE-2018-4939

Skripting på tvers av nettsteder

Avsløring av informasjon

Viktig

CVE-2018-4940

Skripting på tvers av nettsteder

Avsløring av informasjon

Viktig

CVE-2018-4941

Behandling av usikker av ekstern XML-enhet

Avsløring av informasjon

Kritisk

CVE-2018-4942

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse problemene og samarbeidet med Adobe for å bidra til å beskytte våre kunder:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor fra NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman og Michael S. O'Dell fra USRA (CVE-2018-4941)
  • Matthias Kaiser fra Code White GmbH (CVE-2018-4942)

Krav forColdFusion JDK

COLDFUSION 2016 HF6

Denne sikkerhetsoppdateringen krever at ColdFusion bruker JDK 8u121 eller nyere Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE til den nyeste versjonen, Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren.

For applikasjonsservere

På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**" i den aktuelle oppstartfilen, avhengig av type applikasjonsserver som brukes.

For eksempel:

På applikasjonsserveren Apache Tomcat redigerer du JAVA_OPTS i filen Catalina.bat/sh

På applikasjonsserveren WebLogic redigerer du JAVA_OPTIONS i filen startWeblogic.cmd

På applikasjonsserveren WildFly/EAP redigerer du JAVA_OPTS i filen standalone.conf

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

COLDFUSION 11 HF14

Denne sikkerhetsoppdateringen krever at ColdFusion bruker JDK 7u131 eller JDK 8u121 eller nyere.

Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE til den nyeste versjonen, Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren.

For applikasjonsservere

På J2EE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**" i den aktuelle oppstartfilen, avhengig av type applikasjonsserver som brukes.

For eksempel:

På applikasjonsserveren Apache Tomcat redigerer du JAVA_OPTS i filen Catalina.bat/sh

På applikasjonsserveren WebLogic redigerer du JAVA_OPTIONS i filen startWeblogic.cmd

På applikasjonsserveren WildFly/EAP redigerer du JAVA_OPTS i filen standalone.conf

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

Adobe Ansvarsfraskrivelse

Lisensavtale

Når du bruker programvare fra Adobe Systems Incorporated eller datterselskaper ("Adobe"), godtar du følgende betingelser og vilkår. Hvis du ikke godtar betingelsene og vilkårene, må du ikke bruke programvaren. Betingelsene i en sluttbrukerlisensavtale som følger med en bestemt programvarefil ved installering eller nedlasting av programvaren, skal erstatte betingelsene nedenfor.

Eksport og videreeksport av Adobes programvareprodukter er underlagt amerikanske eksportregler, og slik programvare kan ikke eksporteres eller videreeksporteres til Cuba, Iran, Irak, Libya, Nord-Korea, Sudan eller Syria, eller noe annet land som USA har handelsforbud med. Adobe-programvare kan heller ikke distribueres til personer på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals.

Når du laster ned eller bruker et Adobe-programvareprodukt, bekrefter du at du ikke er statsborger av Cuba, Iran, Irak, Libya, Nord-Korea, Sudan eller Syria eller noe land som USA har handelsforbud med, og at du ikke er en person som står på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Hvis programvaren er laget for bruk med et programprodukt ("Vertsprogrammet") utgitt av Adobe, gir Adobe deg en generell lisens til å bruke slik programvare bare med Vertsprogrammet, forutsatt at du har en gyldig lisens fra Adobe for Vertsprogrammet. Med unntak av det som er beskrevet nedenfor, er slik programvare lisensiert til deg underlagt betingelsene og vilkårene i Lisensavtale for sluttbrukere fra Adobe, og regulerer din bruk av Vertsprogrammet.

GARANTIFRASKRIVELSE: DU GODTAR AT ADOBE IKKE HAR GITT DEG NOEN UTTRYKKELIGE GARANTIER VEDRØRENDE PROGRAMVAREN, OG AT PROGRAMVAREN LEVERES DEG "SOM DEN ER", UTEN NOEN FORM FOR GARANTI. ADOBE FRASKRIVER SEG ALLE GARANTIER VEDRØRENDE PROGRAMVAREN, UTTRYKT ELLER UNDERFORSTÅTT, INKLUDERT MEN IKKE BEGRENSET TIL EVENTUELLE GARANTIER OM EGNETHET TIL ET BESTEMT FORMÅL, SALGBARHET, SALGBARHETSKVALITET ELLER KRENKELSE AV TREDJEPARTS RETTIGHETER. Noen rettskretser tillater ikke utelukkelse av underforståtte garantier, så det kan hende at de ovennevnte begrensningene ikke gjelder for deg.

ANSVARSBEGRENSNING: UNDER INGEN OMSTENDIGHETER VIL ADOBE VÆRE ANSVARLIG FOR EVENTUELLE BRUKSTAP, FORRETNINGSAVBRUDD ELLER EVENTUELLE DIREKTE, INDIREKTE, SPESIELLE, TILFELDIGE SKADER ELLER FØLGESKADER AV NOE SLAG (INKLUDERT TAPT FORTJENESTE), UANSETT TYPE HANDLING, UANSETT OM DE ER KONTRAKTSFESTET ELLER ET RESULTAT AV SIVILE SØKSMÅL (INKLUDERT UAKTSOMHET), UTTRYKKELIG PRODUKTANSVAR ELLER PÅ ANNEN MÅTE, SELV OM ADOBE ER GJORT OPPMERKSOM PÅ MULIGHETENE FOR SLIKE SKADER. Noen rettskretser tillater ikke utelukkelse eller begrensning av følgeskader eller tilfeldige skader, og dermed kan det hende at de ovennevnte begrensningene eller utelukkelsene ikke gjelder for deg.

Adobe-logoen

Logg på kontoen din