Actualizări de securitate disponibile pentru ColdFusion | APSB18-14
ID buletin Data publicării Prioritatea
APSB18-14 10 aprilie 2018 2

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion, versiunea 11 și ediția 2016. Aceste actualizări remediază o vulnerabilitate importantă de încărcare nesigură a bibliotecilor (CVE-2018-4938), o vulnerabilitate importantă de scriptare între site-uri care poate duce la injectarea de cod (CVE-2018-4940) și o vulnerabilitate importantă de scriptare între site-uri care putea duce la divulgarea informațiilor (CVE-2018-4941). Aceste actualizări includ și o remediere pentru o vulnerabilitate critică de deserializare Java nesigură (CVE-2018-4939) și o remediere pentru o vulnerabilitate critică de analizare nesigură XML (CVE-2018-4942).

Versiuni afectate

Produs Versiuni afectate Platformă
ColdFusion (ediția 2016) Update 5 și versiunile anterioare Toate
ColdFusion 11 Update 13 și versiunile anterioare Toate

Soluție

Adobe clasifică această actualizare cu următoarea evaluare de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai noi versiuni:

Produs Versiune actualizată Platformă Evaluare a priorității Disponibilitate
ColdFusion (ediția 2016) Update 6 Toate 2 Notă tehnică
ColdFusion 11 Update 14 Toate
2 Notă tehnică

Notă:

Actualizările de securitate menționate în Notele tehnice de mai sus necesită JDK 8u121 sau o versiune superioară (pentru ColdFusion 2016) și JDK 7u131 sau JDK 8u121 (pentru ColdFusion 11). Adobe vă recomandă să actualizați instanța JDK/JRE ColdFusion la cea mai recentă versiune. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii.

Clienții trebuie, de asemenea, să aplice setările de configurare a securității prezentate pe pagina de securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Numere CVE
Încărcare nesigură a bibliotecilor Escaladarea privilegiilor locale Importantă CVE-2018-4938
Deserializarea datelor neautorizate Executare de cod de la distanță Critică CVE-2018-4939
Scriptare între site-uri Divulgarea informațiilor Importantă CVE-2018-4940
Scriptare între site-uri Divulgarea informațiilor Importantă CVE-2018-4941
Procesare nesigură a entităților externe XML Divulgarea informațiilor Critică CVE-2018-4942

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor de la NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman și Michael S. O'Dell de la USRA (CVE-2018-4941)
  • Matthias Kaiser de la Code White GmbH (CVE-2018-4942)

Cerință JDK ColdFusion

COLDFUSION 2016 HF6

Această actualizare de securitate necesită ca instanța ColdFusion să folosească JDK 8u121 sau o versiune superioară. Adobe vă recomandă să actualizați instanța JDK/JRE ColdFusion la cea mai recentă versiune. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul.

Pentru servere de aplicații

În plus, pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.

De exemplu:

Pe serverul de aplicații Apache Tomcat, editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Pe serverul de aplicații WebLogic, editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”

Pe un server de aplicații WildFly/EAP, editați JAVA_OPTS în fișierul „standalone.conf”

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.

COLDFUSION 11 HF14

Această actualizare de securitate necesită ca instanța ColdFusion să folosească JDK 7u131, JDK 8u121 sau o versiune superioară.

Adobe vă recomandă să actualizați instanța JDK/JRE ColdFusion la cea mai recentă versiune. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul.

Pentru serverele de aplicații

În plus, pe instalările J2EE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.

De exemplu:

Pe serverul de aplicații Apache Tomcat, editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Pe serverul de aplicații WebLogic, editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”

Pe un server de aplicații WildFly/EAP, editați JAVA_OPTS în fișierul „standalone.conf”

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.

Exonerare de răspundere Adobe

Acord de licență

Utilizând software de la Adobe Systems Incorporated sau de la filialele sale („Adobe”), vă exprimați acordul cu următorii termeni și condiții. Dacă nu sunteți de acord cu acești termeni și condiții, nu utilizați acest software. Termenii acordului de licență pentru utilizatorul final care însoțește un anumit fișier software la instalarea sau descărcarea software-ului trebuie să prevaleze asupra termenilor prezentați mai jos.

Exportul și re-exportul produselor software Adobe sunt controlate prin reglementările administrative de export ale Statelor Unite și acest software nu se poate exporta sau re-exporta către Cuba, Iran, Irak, Libia, Coreea de Nord, Sudan sau Siria sau către orice altă țară care este supusă embargoului din partea Statelor Unite. În plus, software-ul Adobe nu se poate distribui persoanelor din Table of Denial Orders, Entity List sau List of Specially Designated Nationals.

Prin descărcarea sau utilizarea unui produs software Adobe se verifică faptul că nu sunteți de naționalitate cubaneză, iraniană, irakiană, libiană, nord-coreeană, sudaneză sau siriană sau din orice țară care este supusă embargoului din partea Statelor Unite și că nu sunteți o persoană din Table of Denial Orders, Entity List sau List of Specially Designated Nationals. Dacă software-ul este proiectat pentru utilizare cu un produs software de aplicație („aplicație gazdă”) publicată de Adobe, Adobe vă acordă o licență ne-exclusivă de utilizare a acestui software numai cu aplicația gazdă, dacă dețineți o licență validă de la Adobe pentru aplicația gazdă. Cu excepția celor expuse mai jos, acest software este licențiat supunându-se termenilor și condițiilor Acordului de licență pentru utilizatorul final de la Adobe care guvernează utilizarea aplicației gazdă.

EXONERARE DE GARANȚII: SUNTEȚI DE ACORD CA ADOBE SĂ NU GARANTEZE ÎN MOD CU PRIVIRE LA SOFTWARE ȘI CĂ SOFTWARE-UL SE FURNIZEAZĂ „CA ATARE”, FĂRĂ NICIUN FEL DE GARANȚII. ADOBE SE EXONEREAZĂ DE ORICE GARANȚII REFERITOARE LA SOFTWARE, EXPRESE SAU IMPLICITE, INCLUSIV ȘI FĂRĂ LIMITARE, ORICE GARANȚII IMPLICATE DE CONFORMARE LA UN ANUMIT SCOP, VANDABILITATE, CALITATE DE VÂNZARE SAU NERESPECTARE A DREPTURILOR TERȚILOR. Unele state sau jurisdicții nu permit excluderea garanțiilor implicite, astfel încât este posibil ca limitările de mai sus să nu se aplice.

LIMITĂ A RESPONSABILITĂȚII: ÎN NICIO SITUAȚIE ADOBE NU VA FI RESPONSABIL PENTRU NICIO PIERDERE ÎN UTILIZARE, ÎNTRERUPERE A ACTIVITĂȚII SAU PENTRU ORICE DAUNE DIRECTE, INDIRECTE, SPECIALE, ACCIDENTALE SAU CONSECUTIVE DE ORICE FEL (INCLUSIV PIERDERI DE PROFIT), INDIFERENT DE FORMA ACȚIUNII, FIE ÎN CONTRACT, PREJUDICIU (INCLUSIV NEGLIJENȚĂ), RESPONSABILITATE STRICTĂ A PRODUSULUI, FIE ÎN ALT MOD, CHIAR DACĂ ADOBE A FOST AVIZATĂ DE POSIBILITATEA UNOR ASTFEL DE DAUNE. Unele state sau jurisdicții nu permit excluderea sau limitarea daunelor accidentale sau consecutive, astfel încât este posibil ca unele limitări sau excludere de mai sus să nu se aplice.