Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB21-75

Bulletin-ID

Dato publisert

Prioritet

APSB21-75

tirsdag 14. september 2021

2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2021 og 2018.Denne oppdateringen løser flere kritiske sårbarheter som kan føre til omgåelse av sikkerhetsfunksjon.

Berørte versjoner

Produkt

Oppdateringsnummer

Plattform

ColdFusion 2018

Oppdatering 11 og tidligere versjoner    

Alle

ColdFusion 2021

Versjon 1 og tidligere versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt

Oppdatert versjon

Plattform

Prioritetsklassifisering

Tilgjengelighet

ColdFusion 2018

Oppdatering 12

Alle

2

ColdFusion 2021

Oppdatering 2

Alle

2

Merk:

Adobe anbefaler å oppdatere ColdFusion JDK/JRE til den nyeste versjonen av LTS-versjonene for 1.8 og JDK 11. Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren.  Se de relevante teknologinotatene for mer informasjon. 

Adobe  anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på  ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.   

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-numre

Bruk av iboende farlig funksjon

(CWE-242)

Omgåelse av sikkerhetsfunksjon  

Kritisk   

7.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVE-2021-40698

Upassende tilgangskontroll

(CWE-284)

Omgåelse av sikkerhetsfunksjon  

Kritisk   

7.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

CVE-2021-40699

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Brian Reilly (CVE-2021-40699)
  • Rockwell, Edward J (CVE-2021-40698)

Krav forColdFusion JDK

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere   

På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.  

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 

COLDFUSION 2018 HF1 og nyere  

For applikasjonsservere   

På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.  

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 

Adobe Ansvarsfraskrivelse

Lisensavtale

Når du bruker programvare fra Adobe Incorporated eller datterselskaper ("Adobe"), godtar du følgende betingelser og vilkår. Hvis du ikke godtar betingelsene og vilkårene, må du ikke bruke programvaren. Betingelsene i en sluttbrukerlisensavtale som følger med en bestemt programvarefil ved installering eller nedlasting av programvaren, skal erstatte betingelsene nedenfor.

Eksport og videreeksport av Adobes programvareprodukter er underlagt amerikanske eksportregler, og slik programvare kan ikke eksporteres eller videreeksporteres til Cuba, Iran, Nord-Korea, Syria eller Crimea-regionen i Ukraina, eller noe annet land som USA har handelsforbud med. Adobe-programvare kan heller ikke distribueres til personer på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals. 

Når du laster ned eller bruker et Adobe-programvareprodukt, bekrefter du at du ikke er statsborger av Cuba, Iran, Nord-Korea, Syria eller Crimea-regionen i Ukraina eller noe land som USA har handelsforbud med, og at du ikke er en person som står på USAs Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Hvis programvaren er laget for bruk med et programprodukt ("Vertsprogrammet") utgitt av Adobe, gir Adobe deg en generell lisens til å bruke slik programvare bare med Vertsprogrammet, forutsatt at du har en gyldig lisens fra Adobe for Vertsprogrammet. Med unntak av det som er beskrevet nedenfor, er slik programvare lisensiert til deg underlagt betingelsene og vilkårene i Lisensavtale for sluttbrukere fra Adobe, og regulerer din bruk av Vertsprogrammet.

GARANTIFRASKRIVELSE: DU GODTAR AT ADOBE IKKE HAR GITT DEG NOEN UTTRYKKELIGE GARANTIER VEDRØRENDE PROGRAMVAREN, OG AT PROGRAMVAREN LEVERES DEG "SOM DEN ER", UTEN NOEN FORM FOR GARANTI. ADOBE FRASKRIVER SEG ALLE GARANTIER VEDRØRENDE PROGRAMVAREN, UTTRYKT ELLER UNDERFORSTÅTT, INKLUDERT MEN IKKE BEGRENSET TIL EVENTUELLE GARANTIER OM EGNETHET TIL ET BESTEMT FORMÅL, SALGBARHET, SALGBARHETSKVALITET ELLER KRENKELSE AV TREDJEPARTS RETTIGHETER. Noen rettskretser tillater ikke utelukkelse av underforståtte garantier, så det kan hende at de ovennevnte begrensningene ikke gjelder for deg.

ANSVARSBEGRENSNING: UNDER INGEN OMSTENDIGHETER VIL ADOBE VÆRE ANSVARLIG FOR EVENTUELLE BRUKSTAP, FORRETNINGSAVBRUDD ELLER EVENTUELLE DIREKTE, INDIREKTE, SPESIELLE, TILFELDIGE SKADER ELLER FØLGESKADER AV NOE SLAG (INKLUDERT TAPT FORTJENESTE), UANSETT TYPE HANDLING, UANSETT OM DE ER KONTRAKTSFESTET ELLER ET RESULTAT AV SIVILE SØKSMÅL (INKLUDERT UAKTSOMHET), UTTRYKKELIG PRODUKTANSVAR ELLER PÅ ANNEN MÅTE, SELV OM ADOBE ER GJORT OPPMERKSOM PÅ MULIGHETENE FOR SLIKE SKADER. Noen rettskretser tillater ikke utelukkelse eller begrensning av følgeskader eller tilfeldige skader, og dermed kan det hende at de ovennevnte begrensningene eller utelukkelsene ikke gjelder for deg.


For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com 

 Adobe

Få hjelp raskere og enklere

Ny bruker?