Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB21-75

ID buletin

Data publicării

Prioritatea

APSB21-75

14 septembrie 2021

2

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018.Aceste actualizări rezolvă mai multe vulnerabilități critice care pot duce la ocolirea caracteristicii de securitate.

Versiunile afectate

Produs

Număr actualizare

Platformă

ColdFusion 2018

Update 11 și versiunile anterioare    

Toate

ColdFusion 2021

Versiunea 1 și versiunile anterioare

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

ColdFusion 2018

Update 12

Toate

2

ColdFusion 2021

Update 2

Toate

2

Notă:

Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru 1.8 și JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii. 

De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile. 

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Numere CVE

Folosirea unei funcții inerent periculoase

(CWE-242)

Ocolirea caracteristicii de securitate  

Critică   

7.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVE-2021-40698

Control inadecvat al accesului

(CWE-284)

Ocolirea caracteristicii de securitate  

Critică   

7.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

CVE-2021-40699

Mențiuni

Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Brian Reilly (CVE-2021-40699)
  • Rockwell, Edward J (CVE-2021-40698)

Cerință JDK ColdFusion

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

COLDFUSION 2018 HF1 și mai recent  

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

Exonerare de răspundere Adobe

Acord de licență

Utilizând software de la Adobe Incorporated sau de la filialele sale („Adobe”), vă exprimați acordul cu următorii termeni și condiții. Dacă nu sunteți de acord cu acești termeni și condiții, nu utilizați acest software. Termenii acordului de licență pentru utilizatorul final care însoțește un anumit fișier software la instalarea sau descărcarea software-ului trebuie să prevaleze asupra termenilor prezentați mai jos.

Exportul și re-exportul produselor software Adobe sunt controlate prin reglementările administrative de export ale Statelor Unite și este interzis exportul sau re-exportul acestui software către Cuba, Iran, Coreea de Nord, Siria sau Siria și regiunea Crimeea din Ucraina, sau către orice altă țară care este supusă embargoului de produse din partea Statelor Unite. În plus, software-ul Adobe nu se poate distribui persoanelor din Table of Denial Orders, Entity List sau List of Specially Designated Nationals. 

Prin descărcarea sau utilizarea unui produs software Adobe certificați faptul că nu sunteți cetățean al următoarelor state: Cuba, Iran, Coreea de Nord, Siria și regiunea Crimeea din Ucraina, sau al oricărei țări care este supusă embargoului de produse din partea Statelor Unite și că nu sunteți o persoană din Table of Denial Orders, Entity List sau List of Specially Designated Nationals. Dacă software-ul este proiectat pentru utilizare cu un produs software de aplicație („aplicație gazdă”) publicată de Adobe, Adobe vă acordă o licență ne-exclusivă de utilizare a acestui software numai cu aplicația gazdă, dacă dețineți o licență validă de la Adobe pentru aplicația gazdă. Cu excepția celor expuse mai jos, acest software este licențiat supunându-se termenilor și condițiilor Acordului de licență pentru utilizatorul final de la Adobe care guvernează utilizarea aplicației gazdă.

EXONERARE DE GARANȚII: SUNTEȚI DE ACORD CA ADOBE SĂ NU GARANTEZE ÎN MOD CU PRIVIRE LA SOFTWARE ȘI CĂ SOFTWARE-UL SE FURNIZEAZĂ „CA ATARE”, FĂRĂ NICIUN FEL DE GARANȚII. ADOBE SE EXONEREAZĂ DE ORICE GARANȚII REFERITOARE LA SOFTWARE, EXPRESE SAU IMPLICITE, INCLUSIV ȘI FĂRĂ LIMITARE, ORICE GARANȚII IMPLICATE DE CONFORMARE LA UN ANUMIT SCOP, VANDABILITATE, CALITATE DE VÂNZARE SAU NERESPECTARE A DREPTURILOR TERȚILOR. Unele state sau jurisdicții nu permit excluderea garanțiilor implicite, astfel încât este posibil ca limitările de mai sus să nu se aplice.

LIMITĂ A RESPONSABILITĂȚII: ÎN NICIO SITUAȚIE ADOBE NU VA FI RESPONSABIL PENTRU NICIO PIERDERE ÎN UTILIZARE, ÎNTRERUPERE A ACTIVITĂȚII SAU PENTRU ORICE DAUNE DIRECTE, INDIRECTE, SPECIALE, ACCIDENTALE SAU CONSECUTIVE DE ORICE FEL (INCLUSIV PIERDERI DE PROFIT), INDIFERENT DE FORMA ACȚIUNII, FIE ÎN CONTRACT, PREJUDICIU (INCLUSIV NEGLIJENȚĂ), RESPONSABILITATE STRICTĂ A PRODUSULUI, FIE ÎN ALT MOD, CHIAR DACĂ ADOBE A FOST AVIZATĂ DE POSIBILITATEA UNOR ASTFEL DE DAUNE. Unele state sau jurisdicții nu permit excluderea sau limitarea daunelor accidentale sau consecutive, astfel încât este posibil ca unele limitări sau excluderi de mai sus să nu se aplice.


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com 

Sigla Adobe

Conectați-vă la cont