某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Firma Adobe wydała aktualizacje zabezpieczeń dla programu ColdFusion w wersjach 11 i 2016. Te aktualizacje usuwają istotną lukę w zabezpieczeniach związaną z niebezpiecznym wczytywaniem bibliotek (CVE-2018-4938), istotną lukę w zabezpieczeniach związaną z atakami typu skrypty międzywitrynowe, która może prowadzić do ataków typu code injection (CVE-2018-4940) oraz istotną lukę w zabezpieczeniach związaną z atakami typu skrypty międzywitrynowe, która może prowadzić do ujawnienia informacji (CVE-2018-4941). Aktualizacje obejmują również zabezpieczenia przed wykorzystaniem krytycznej luki w zabezpieczeniach związanej z niebezpieczną deserializacją Java (CVE-2018-4939) oraz krytycznej luki w zabezpieczeniach związanej z niebezpiecznym parsowaniem XML (CVE-2018-4942).
| Produkt | Zagrożone wersje | Platforma |
|---|---|---|
| ColdFusion (wersja 2016) | Aktualizacja 5 i wcześniejsze wersje | Wszystkie |
| ColdFusion 11 | Aktualizacja 13 i wcześniejsze wersje | Wszystkie |
Firma Adobe nadaje tej aktualizacji następującą ocenę priorytetu i zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszej wersji:
| Produkt | Zaktualizowana wersja | Platforma | Ocena priorytetu | Dostępność |
|---|---|---|---|---|
| ColdFusion (wersja 2016) | Aktualizacja 6 | Wszystkie | 2 | Uwagi techniczne |
| ColdFusion 11 | Aktualizacja 14 | Wszystkie |
2 | Uwagi techniczne |
Uwaga:
Aktualizacje zabezpieczeń wymienione w powyższych uwagach technicznych wymagają oprogramowania JDK w wersji 8u121 lub nowszej (dla programu ColdFusion 2016) oraz oprogramowania JDK w wersji 7u131 lub 8u121 (dla programu ColdFusion 11). Firma Adobe zaleca aktualizację oprogramowania JDK/JRE dla programu ColdFusion do najnowszej wersji. Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera. Więcej informacji można znaleźć w odpowiednich uwagach technicznych.
Klienci powinni również zastosować ustawienia konfiguracji zabezpieczeń opisane na stronie zabezpieczeń programu ColdFusion , a także zapoznać się z odpowiednimi przewodnikami dotyczącym zabezpieczania.
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Istotność | Numery CVE |
|---|---|---|---|
| Niebezpieczne wczytywanie bibliotek | Podwyższanie uprawnień lokalnych | Istotna | CVE-2018-4938 |
| Deserializacja niezaufanych danych | Zdalne wykonywanie kodu | Krytyczna | CVE-2018-4939 |
| Skrypty międzywitrynowe | Ujawnienie informacji | Istotna | CVE-2018-4940 |
| Skrypty międzywitrynowe | Ujawnienie informacji | Istotna | CVE-2018-4941 |
| Niebezpieczne przetwarzanie zewnętrznego obiektu XML | Ujawnienie informacji | Krytyczna | CVE-2018-4942 |
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:
- Nitesh Shilpkar (CVE-2018-4938)
- Nick Bloor z NCC Group (CVE-2018-4939)
- Jaaziel Sam Carlos (CVE-2018-4940)
- William Eatman i Michael S. O'Dell z organizacji USRA (CVE-2018-4941)
- Matthias Kaiser z firmy Code White GmbH (CVE-2018-4942)
COLDFUSION 2016 HF6
Ta aktualizacja zabezpieczeń wymaga dla programu ColdFusion oprogramowania JDK w wersji 8u121 lub nowszej. Firma Adobe zaleca aktualizację oprogramowania JDK/JRE dla programu ColdFusion do najnowszej wersji. Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera.
Dla serwerów aplikacji
Ponadto, w przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.
Przykładowo:
W serwerze aplikacji Apache Tomcat należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh”
W serwerze aplikacji WebLogic należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd”
W serwerze aplikacji WildFly/EAP należy edytować pozycję JAVA_OPTS w pliku „standalone.conf”
Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.
COLDFUSION 11 HF14
Aktualizacja zabezpieczeń wymaga dla programu ColdFusion oprogramowania JDK 7u131, JDK 8u121 lub nowszej wersji.
Firma Adobe zaleca aktualizację oprogramowania JDK/JRE dla programu ColdFusion do najnowszej wersji. Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera.
Dla serwerów aplikacji
Ponadto, w przypadku instalacji J2EE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.
Przykładowo:
W serwerze aplikacji Apache Tomcat należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh”
W serwerze aplikacji WebLogic należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd”
W serwerze aplikacji WildFly/EAP należy edytować pozycję JAVA_OPTS w pliku „standalone.conf”
Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.
Umowa licencyjna
Używając oprogramowania firmy Adobe Systems Incorporated lub jej podmiotów zależnych („Adobe”), użytkownik akceptuje następujące warunki i postanowienia. Jeśli użytkownik nie akceptuje tych warunków i postanowień, nie powinien używać niniejszego oprogramowania. Warunki umowy licencyjnej użytkownika oprogramowania dołączonej do konkretnego pliku oprogramowania i przedstawione podczas instalacji lub pobierania oprogramowania zastępują poniższe warunki.
Eksport i reeksport produktów programistycznych firmy Adobe podlega amerykańskim przepisom eksportowym i oprogramowanie takie nie może być eksportowane ani reeksportowane na Kubę, do Iranu, Iraku, Libii, Korei Północnej, Sudanu i Syrii oraz do żadnego kraju, na który Stany Zjednoczone nałożyły embargo. Ponadto oprogramowanie firmy Adobe nie może być rozprowadzane do osób wymienionych w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals.
Przez pobranie lub użycie produktu programistycznego firmy Adobe użytkownik potwierdza, że nie jest obywatelem Kuby, Iranu, Iraku, Libii, Korei Północnej, Sudanu, Syrii ani żadnego z krajów, na który Stany Zjednoczone nałożyły embargo, oraz że nie jest osobą wymienioną w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals. Jeśli oprogramowanie zostało zaprojektowane do użytku z aplikacją programistyczną („Aplikacja hosta”) opublikowaną przez firmę Adobe, firma Adobe udziela użytkownikowi niewyłącznej licencji na używanie takiego oprogramowania tylko z Aplikacją hosta, pod warunkiem, że użytkownik posiada ważną licencję pochodzącą od firmy Adobe na Aplikację hosta. Z wyjątkiem przypadków wymienionych poniżej, takie oprogramowanie jest licencjonowane użytkownikowi zgodnie z warunkami i postanowieniami Umowy Licencyjnej Użytkownika Oprogramowania pochodzącej od firmy Adobe i regulującej warunki użytkowania Aplikacji hosta.
WYŁĄCZENIE ODPOWIEDZIALNOŚCI Z TYTUŁU RĘKOJMI: UŻYTKOWNIK PRZYJMUJE DO WIADOMOŚCI, ŻE FIRMA ADOBE NIE UDZIELIŁA MU ŻADNYCH JAWNYCH GWARANCJI DOTYCZĄCYCH OPROGRAMOWANIA I ŻE OPROGRAMOWANIE JEST DOSTARCZANE W STANIE „TAK JAK JEST” BEZ ŻADNYCH GWARANCJI. FIRMA ADOBE ODRZUCA WSZELKIE GWARANCJE DOTYCZĄCE OPROGRAMOWANIA, W TYM RÓWNIEŻ, ALE NIE WYŁĄCZNIE, GWARANCJE JAWNE LUB DOMNIEMANE; WSZELKIE GWARANCJE DOMNIEMANE CO DO PRZYDATNOŚCI DO OKREŚLONEGO CELU, WARTOŚCI HANDLOWEJ, JAKOŚCI HANDLOWEJ LUB NIENARUSZANIA PRAW OSÓB TRZECICH. Niektóre systemy prawne nie zezwalają na wyłączanie gwarancji domniemanych, w związku z tym powyższe ograniczenia mogą nie dotyczyć konkretnego użytkownika.
OGRANICZENIE ODPOWIEDZIALNOŚCI: W ŻADNYM WYPADKU FIRMA ADOBE NIE PONOSI PRZED UŻYTKOWNIKIEM ODPOWIEDZIALNOŚCI ZA JAKĄKOLWIEK UTRATĘ MOŻLIWOŚCI UŻYTKOWANIA, PRZERWĘ W PROWADZENIU DZIAŁALNOŚCI ANI ZA JAKIEKOLWIEK SZKODY POŚREDNIE LUB BEZPOŚREDNIE, NADZWYCZAJNE, WTÓRNE LUB PRZYPADKOWE (RÓWNIEŻ ZA UTRACONE KORZYŚCI), BEZ WZGLĘDU NA FORMĘ ROSZCZEŃ — KONTRAKT, NARUSZENIE PRAWA CYWILNEGO (WŁĄCZAJĄC ZANIEDBANIE), ODPOWIEDZIALNOŚĆ OBIEKTYWNĄ PRODUCENTA LUB INNE, NAWET JEŻELI FIRMA ADOBE ZOSTAŁA UPRZEDZONA O MOŻLIWOŚCI POWSTANIA TAKICH SZKÓD. Niektóre systemy prawne nie zezwalają na wyłączanie czy ograniczanie odpowiedzialności za szkody przypadkowe lub wtórne, w związku z tym powyższe ograniczenie lub wyłączenie może nie dotyczyć konkretnego użytkownika.