Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Adobe ColdFusion | APSB21-75

ID biuletynu

Data publikacji

Priorytet

APSB21-75

14 września 2021 r.

2

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programu ColdFusion w wersjach 2021 i 2018. Te aktualizacje usuwają wiele krytycznych luk, które mogłyby prowadzić do obejścia funkcji bezpieczeństwa.

Zagrożone wersje

Produkt

Numer aktualizacji

Platforma

ColdFusion 2018

Aktualizacja 11 i wcześniejsze wersje    

Wszystkie

ColdFusion 2021

Wersja 1 i wcześniejsze

Wszystkie

Rozwiązanie

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom zaktualizowanie posiadanych instalacji do najnowszych wersji:

Produkt

Zaktualizowana wersja

Platforma

Ocena priorytetu

Dostępność

ColdFusion 2018

Aktualizacja 12

Wszystkie

2

ColdFusion 2021

Aktualizacja 2

Wszystkie

2

Uwaga:

Firma Adobe zaleca aktualizację programu ColdFusion JDK/JRE do najnowszej wersji wydań LTS 1.8 i JDK 11. Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera.  Więcej informacji można znaleźć w odpowiednich uwagach technicznych.

Firma Adobe zaleca również klientom zastosowanie ustawień konfiguracji zabezpieczeń opisanych na stronie zabezpieczeń programu ColdFusion, a także zapoznanie się z odpowiednimi przewodnikami dotyczącymi zabezpieczania.   

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

Numery CVE

Używanie funkcji niebezpiecznej z natury

(CWE-242)

Obejście funkcji bezpieczeństwa  

Krytyczna   

7.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVE-2021-40698

Niewłaściwa kontrola dostępu

(CWE-284)

Obejście funkcji bezpieczeństwa  

Krytyczna   

7.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

CVE-2021-40699

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Brian Reilly (CVE-2021-40699)
  • Rockwell, Edward J (CVE-2021-40698)

Wymagane oprogramowanie JDK dla programu ColdFusion

COLDFUSION 2021 (wersja 2021.0.0.323925) i nowsze

Dla serwerów aplikacji   

W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.

Przykładowo:   

Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh” 

Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd” 

Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf” 

Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.  

 

COLDFUSION 2018 HF1 i nowsze  

Dla serwerów aplikacji   

W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.

Przykładowo:   

Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh” 

Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd” 

Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf” 

Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.  

 

Zrzeczenie odpowiedzialności firmy Adobe

Umowa licencyjna

Używając oprogramowania firmy Adobe Incorporated lub jej podmiotów zależnych („Adobe”), użytkownik akceptuje następujące warunki i postanowienia. Jeśli użytkownik nie akceptuje tych warunków i postanowień, nie powinien używać niniejszego oprogramowania. Warunki umowy licencyjnej użytkownika oprogramowania dołączonej do konkretnego pliku oprogramowania i przedstawione podczas instalacji lub pobierania oprogramowania zastępują poniższe warunki.

Eksport i reeksport produktów programistycznych firmy Adobe podlega amerykańskim przepisom eksportowym i oprogramowanie takie nie może być eksportowane ani reeksportowane na Kubę, do Iranu, Korei Północnej, Syrii, na Krym (region Ukrainy) ani do żadnego kraju, na który Stany Zjednoczone nałożyły embargo. Ponadto oprogramowanie firmy Adobe nie może być rozprowadzane do osób wymienionych w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals.

Przez pobranie lub użycie produktu programistycznego firmy Adobe użytkownik potwierdza, że nie jest obywatelem Kuby, Iranu, Korei Północnej, Syrii, Krymu (region Ukrainy) ani żadnego z krajów, na który Stany Zjednoczone nałożyły embargo, oraz że nie jest osobą wymienioną w tabeli Table of Denial Orders, na liście Entity List lub liście List of Specially Designated Nationals. Jeśli oprogramowanie zostało zaprojektowane do użytku z aplikacją programistyczną („Aplikacja hosta”) opublikowaną przez firmę Adobe, firma Adobe udziela użytkownikowi niewyłącznej licencji na używanie takiego oprogramowania tylko z Aplikacją hosta, pod warunkiem, że użytkownik posiada ważną licencję pochodzącą od firmy Adobe na Aplikację hosta. Z wyjątkiem przypadków wymienionych poniżej, takie oprogramowanie jest licencjonowane użytkownikowi zgodnie z warunkami i postanowieniami Umowy Licencyjnej Użytkownika Oprogramowania pochodzącej od firmy Adobe i regulującej warunki użytkowania Aplikacji hosta.

WYŁĄCZENIE ODPOWIEDZIALNOŚCI Z TYTUŁU RĘKOJMI: UŻYTKOWNIK PRZYJMUJE DO WIADOMOŚCI, ŻE FIRMA ADOBE NIE UDZIELIŁA MU ŻADNYCH JAWNYCH GWARANCJI DOTYCZĄCYCH OPROGRAMOWANIA I ŻE OPROGRAMOWANIE JEST DOSTARCZANE W STANIE „TAK JAK JEST” BEZ ŻADNYCH GWARANCJI. FIRMA ADOBE ODRZUCA WSZELKIE GWARANCJE DOTYCZĄCE OPROGRAMOWANIA, W TYM RÓWNIEŻ, ALE NIE WYŁĄCZNIE, GWARANCJE JAWNE LUB DOMNIEMANE, WSZELKIE GWARANCJE DOMNIEMANE CO DO PRZYDATNOŚCI DO OKREŚLONEGO CELU, WARTOŚCI HANDLOWEJ, JAKOŚCI HANDLOWEJ LUB NIENARUSZANIA PRAW OSÓB TRZECICH. Niektóre kraje i systemy prawne nie zezwalają na wyłączanie gwarancji domniemanych, w związku z czym powyższe ograniczenia mogą nie dotyczyć konkretnego użytkownika.

OGRANICZENIE ODPOWIEDZIALNOŚCI: W ŻADNYM WYPADKU FIRMA ADOBE NIE PONOSI PRZED UŻYTKOWNIKIEM ODPOWIEDZIALNOŚCI ZA JAKĄKOLWIEK UTRATĘ MOŻLIWOŚCI UŻYTKOWANIA, PRZERWĘ W PROWADZENIU DZIAŁALNOŚCI ANI ZA JAKIEKOLWIEK SZKODY POŚREDNIE LUB BEZPOŚREDNIE, NADZWYCZAJNE, WTÓRNE LUB PRZYPADKOWE (RÓWNIEŻ ZA UTRACONE KORZYŚCI), BEZ WZGLĘDU NA FORMĘ ROSZCZEŃ — KONTRAKT, NARUSZENIE PRAWA CYWILNEGO (WŁĄCZAJĄC ZANIEDBANIE), ODPOWIEDZIALNOŚĆ OBIEKTYWNĄ PRODUCENTA LUB INNE, NAWET JEŻELI FIRMA ADOBE ZOSTAŁA UPRZEDZONA O MOŻLIWOŚCI POWSTANIA TAKICH SZKÓD. Niektóre kraje i systemy prawne nie zezwalają na wyłączanie lub ograniczanie odpowiedzialności za szkody przypadkowe lub wtórne, w związku z czym powyższe ograniczenie lub wyłączenie może nie dotyczyć konkretnego użytkownika.


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com 

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online