Aktualizacja zabezpieczeń: Poprawki dostępne dla programu ColdFusion

Data utworzenia: 14 października 2014

Identyfikator luki: APSB14-23

Priorytet: Patrz tabela poniżej

Numery : -2014-, CVE-0570-, CVE-2014-0571, CVE-2014-0572, CVE-

Platforma: Wszystkie platformy

Podsumowanie

Firma Adobe wydała poprawki zabezpieczeń dla programu ColdFusion w wersji 11, 10, 9.0.2, 9.0.1 i 9.0 na wszystkie platformy.  Te poprawki usuwają problem z uprawnieniami zabezpieczeń, które mogły być wykorzystane przez nieuwierzytelnionego użytkownika do ominięcia ograniczeń kontroli dostępu do adresu IP stosowanych dla administratora programu ColdFusion. Poprawki te usuwają również luki w zabezpieczeniach dotyczące skryptów międzywitrynowych i fałszerstw żądań międzywitrynowych.

Zagrożone wersje oprogramowania

ColdFusion w wersji 11, 10, 9.0.2, 9.0.1 i 9.0 na wszystkie platformy.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania ColdFusion zgodnie z instrukcjami podanymi w notatce technicznej pod adresem: http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html

Klienci powinni również zastosować ustawienia konfiguracji zabezpieczeń opisane na stronie zabezpieczeń programu ColdFusion, a także zapoznać się z Przewodnikiem dotyczącym zabezpieczania programu ColdFusion 11, Przewodnikiem dotyczącym zabezpieczania programu ColdFusion 10 i Przewodnikiem dotyczącym zabezpieczania programu ColdFusion 9.

Oceny priorytetów i ważności

 Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:

Wersja programu ColdFusion Wersja poprawki Platforma Ocena priorytetu
11 Aktualizacja 2 Wszystkie
2
10 Aktualizacja 14 Wszystkie 2
9.0.2 Aktualizacja 7 Wszystkie
2
9.0.1 Aktualizacja 12 Wszystkie
2
9.0
Aktualizacja 13 Wszystkie
2

Te aktualizacje usuwają ważne luki w zabezpieczeniach oprogramowania.

Szczegóły

Firma Adobe wydała poprawki zabezpieczeń dla programu ColdFusion w wersji 11, 10, 9.0.2, 9.0.1 i 9.0 na wszystkie platformy.  

Te poprawki usuwają lukę w zabezpieczeniach umożliwiającą ataki przy użyciu fałszerstw żądań międzywitrynowych (CVE-2014-0570).

Te poprawki usuwają lukę w zabezpieczeniach umożliwiającą ataki przy użyciu skryptów międzywitrynowych (CVE-2014-0571).

Te poprawki usuwają problem dotyczący uprawnień zabezpieczeń, które mogły być wykorzystywane przez nieuwierzytelnionego użytkownika do ominięcia ograniczeń kontroli dostępu do adresu IP (CVE-2014-0572).

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Craig Young — Tripwire VERT (CVE-2014-0570)
  • Pete Freitag z firmy Foundeo Inc. (CVE-2014-0571)
  • Aaron Foote (CVE-2014-0572)

Zrzeczenie odpowiedzialności firmy Adobe

Umowa licencyjna

Używając oprogramowania firmy Adobe Systems Incorporated lub jej podmiotów zależnych („Adobe”), użytkownik akceptuje następujące warunki i postanowienia. Jeśli użytkownik nie akceptuje tych warunków i postanowień, nie powinien używać niniejszego oprogramowania. Warunki umowy licencyjnej użytkownika oprogramowania dołączonej do konkretnego pliku oprogramowania i przedstawione podczas instalacji lub pobierania oprogramowania zastępują poniższe warunki.

Eksport i reeksport produktów programistycznych firmy Adobe podlega amerykańskim przepisom eksportowym i oprogramowanie takie nie może być eksportowane ani reeksportowane na Kubę, do Iranu, Iraku, Libii, Korei Północnej, Sudanu i Syrii oraz do żadnego kraju, na który Stany Zjednoczone nałożyły embargo. Ponadto oprogramowanie firmy Adobe nie może być rozprowadzane do osób wymienionych w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals.

Przez pobranie lub użycie produktu programistycznego firmy Adobe użytkownik potwierdza, że nie jest obywatelem Kuby, Iranu, Iraku, Libii, Korei Północnej, Sudanu, Syrii ani żadnego z krajów, na który Stany Zjednoczone nałożyły embargo, oraz że nie jest osobą wymienioną w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals. Jeśli oprogramowanie zostało zaprojektowane do użytku z aplikacją programistyczną („Aplikacja hosta”) opublikowaną przez firmę Adobe, firma Adobe udziela użytkownikowi niewyłącznej licencji na używanie takiego oprogramowania tylko z Aplikacją hosta, pod warunkiem, że użytkownik posiada ważną licencję pochodzącą od firmy Adobe na Aplikację hosta. Z wyjątkiem przypadków wymienionych poniżej, takie oprogramowanie jest licencjonowane użytkownikowi zgodnie z warunkami i postanowieniami Umowy Licencyjnej Użytkownika Oprogramowania pochodzącej od firmy Adobe i regulującej warunki użytkowania Aplikacji hosta.

WYŁĄCZENIE ODPOWIEDZIALNOŚCI Z TYTUŁU RĘKOJMI: UŻYTKOWNIK PRZYJMUJE DO WIADOMOŚCI, ŻE FIRMA ADOBE NIE UDZIELIŁA MU ŻADNYCH JAWNYCH GWARANCJI DOTYCZĄCYCH OPROGRAMOWANIA I ŻE OPROGRAMOWANIE JEST DOSTARCZANE W STANIE „TAK JAK JEST” BEZ ŻADNYCH GWARANCJI. FIRMA ADOBE ODRZUCA WSZELKIE GWARANCJE DOTYCZĄCE OPROGRAMOWANIA, W TYM RÓWNIEŻ, ALE NIE WYŁĄCZNIE, GWARANCJE JAWNE LUB DOMNIEMANE; WSZELKIE GWARANCJE DOMNIEMANE CO DO PRZYDATNOŚCI DO OKREŚLONEGO CELU, WARTOŚCI HANDLOWEJ, JAKOŚCI HANDLOWEJ LUB NIENARUSZANIA PRAW OSÓB TRZECICH. Niektóre systemy prawne nie zezwalają na wyłączanie gwarancji domniemanych, w związku z tym powyższe ograniczenia mogą nie dotyczyć konkretnego użytkownika.

OGRANICZENIE ODPOWIEDZIALNOŚCI: W ŻADNYM WYPADKU FIRMA ADOBE NIE PONOSI PRZED UŻYTKOWNIKIEM ODPOWIEDZIALNOŚCI ZA JAKĄKOLWIEK UTRATĘ MOŻLIWOŚCI UŻYTKOWANIA, PRZERWĘ W PROWADZENIU DZIAŁALNOŚCI ANI ZA JAKIEKOLWIEK SZKODY POŚREDNIE LUB BEZPOŚREDNIE, NADZWYCZAJNE, WTÓRNE LUB PRZYPADKOWE (RÓWNIEŻ ZA UTRACONE KORZYŚCI), BEZ WZGLĘDU NA FORMĘ ROSZCZEŃ — KONTRAKT, NARUSZENIE PRAWA CYWILNEGO (WŁĄCZAJĄC ZANIEDBANIE), ODPOWIEDZIALNOŚĆ OBIEKTYWNĄ PRODUCENTA LUB INNE, NAWET JEŻELI FIRMA ADOBE ZOSTAŁA UPRZEDZONA O MOŻLIWOŚCI POWSTANIA TAKICH SZKÓD. Niektóre systemy prawne nie zezwalają na wyłączanie czy ograniczanie odpowiedzialności za szkody przypadkowe lub wtórne, w związku z tym powyższe ograniczenie lub wyłączenie może nie dotyczyć konkretnego użytkownika.