Обновления системы безопасности для ColdFusion | APSB18-14
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-14 10 апреля 2018 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности для ColdFusion версии 11 и выпуска 2016. В этих обновлениях устранена важная уязвимость небезопасной загрузки библиотеки (CVE-2018-4938), важная уязвимость межсайтового скриптинга, которая могла привести к внедрения вредоносного кода (CVE-2018-4940), а также важная уязвимость межсайтового скриптинга, которая могла привести к раскрытию информации (CVE-2018-4941). Эти обновления также включают уменьшение опасности критической уязвимости небезопасной Java-десериализации (CVE-2018-4939), а также уменьшение опасности критической уязвимости небезопасного XML-анализа (CVE-2018-4942).

Затронутые версии

Продукт Затронутые версии Платформа
ColdFusion (выпуск 2016) Обновление 5 для и более ранних версий Все
ColdFusion 11 Обновление 13 и более ранних версий Все

Решение

Компания Adobe присвоила этому обновлению следующий рейтинг приоритета и рекомендует пользователям обновить установленное программное обеспечение до последней версии:

Продукт Обновленная версия Платформа Рейтинг приоритета Доступность
ColdFusion (выпуск 2016) Обновление 6 Все 2 Техническое примечание
ColdFusion 11 Обновление 14 Все
2 Техническое примечание

Примечание.

Обновления безопасности, представленные ссылками в этих технических примечаниях, требуют установки набора средств JDK 8u121 или более поздних версий (для ColdFusion 2016), JDK 7u131 или JDK 8u121 (для ColdFusion 11). Adobe рекомендует пользователям обновить набор средств ColdFusion JDK/JRE до последней версии. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер. См. соответствующие технические примечания для получения более подробной информации.

Пользователям необходимо также применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номера CVE
Небезопасная загрузка библиотеки Расширение локальных привилегий Важная CVE-2018-4938
Десериализация ненадежных данных Удаленное выполнение кода Критично CVE-2018-4939
Межсайтовый скриптинг Раскрытие информации Важная CVE-2018-4940
Межсайтовый скриптинг Раскрытие информации Важная CVE-2018-4941
Небезопасная обработка внешних объектов XML Раскрытие информации Критично CVE-2018-4942

Благодарности

Компания Adobe выражает благодарность следующим людям и организациям за сообщение об этих проблемах и за содействие в защите пользователей:

Требования для набора средств ColdFusion JDK

COLDFUSION 2016 HF6

Это обновление безопасности требует установки набора средств ColdFusion JDK 8u121 или более поздних версий. Adobe рекомендует пользователям обновить набор средств ColdFusion JDK/JRE до последней версии. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер.

Для серверов приложений

Кроме того, в настройках JEE установите следующий флаг JVM "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**" в соответствующем файле запуска в зависимости от используемого сервера приложений.

Например:

В контейнере сервлетов Apache Tomcat измените JAVA_OPTS в файле ‘Catalina.bat/sh’

На сервере приложений WebLogic измените JAVA_OPTIONS в файле ‘startWeblogic.cmd’

На сервере приложений WildFly/EAP измените JAVA_OPTS в файле ‘standalone.conf’

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.

COLDFUSION 11 HF14

Это обновление безопасности требует установки набора средств ColdFusion JDK 7u131 или JDK 8u121 или более поздних версий.

Adobe рекомендует пользователям обновить набор средств ColdFusion JDK/JRE до последней версии. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер.

Для серверов приложений

Кроме того, в настройках J2EE установите следующий флаг JVM "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**" в соответствующем файле запуска в зависимости от используемого сервера приложений.

Например:

В контейнере сервлетов Apache Tomcat измените JAVA_OPTS в файле ‘Catalina.bat/sh’

На сервере приложений WebLogic измените JAVA_OPTIONS в файле ‘startWeblogic.cmd’

На сервере приложений WildFly/EAP измените JAVA_OPTS в файле ‘standalone.conf’

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.

Отказ от ответственности Adobe

Лицензионное соглашение

Используя программное обеспечение корпорации Adobe Systems Incorporated или аффилированных с ней компаний (далее "Adobe"), Вы соглашаетесь со следующими условиями и положениями. Если Вы не согласны со следующими условиями, не используйте программное обеспечение. Условия лицензионного соглашения об использовании определенного программного файла после установки данного файла замещают нижеследующие условия.

Экспорт и реэкспорт программного обеспечения Adobe регулируется законодательством США об экспорте, и такое программное обеспечение не может быть экспортировано на Кубу, в Иран, Ирак, Ливию, Северную Корею, Судан или Сирию или иные страны, в отношении которых действует экспортное эмбарго США. Кроме этого, запрещен сбыт программного обеспечения Adobe физическому или юридическому лицу, занесенному в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан.

В случае загрузки или использования программного продукта Adobe Вы гарантируете, что Вы не являетесь гражданином Кубы, Ирана, Ирака, Ливии, Северной Кореи, Судана или Сирии или иной страны, в отношении которой действует экспортное эмбарго США, и что Вы не являетесь физическим или юридическим лицом, занесенным в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан. Если программное обеспечение предназначено для использования вместе с прикладным программным продуктом (далее "ведущая прикладная система"), выпущенным Adobe, Adobe предоставляет Вам неэксклюзивную лицензию на использование такого программного обеспечения исключительно вместе с ведущей прикладной системой при условии, что Вы обладаете действительной лицензией от компании Adobe на использование ведущей прикладной системы. За исключением изложенного ниже, такое программное обеспечение предоставляется Вам на условиях лицензионного соглашения с конечным пользователем, заключенным с компанией Adobe, определяющим использование Вами ведущей прикладной системы.

ОТКАЗ ОТ ГАРАНТИЙ: ВЫ СОГЛАШАЕТЕСЬ, ЧТО КОМПАНИЯ ADOBE НЕ ДАЕТ НИКАКИХ ЯВНЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ЧТО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПРЕДОСТАВЛЯЕТСЯ ВАМ ПО ПРИНЦИПУ "КАК ЕСТЬ" БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ADOBE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ОГОВОРЕННЫХ И ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЯ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ, ПРИГОДНОСТИ ДЛЯ ПРОДАЖИ, УДОВЛЕТВОРИТЕЛЬНОГО РЫНОЧНОГО КАЧЕСТВА ИЛИ ОТСУТСТВИЯ НАРУШЕНИЙ ПРАВ ТРЕТЬИХ ЛИЦ. В некоторых странах не разрешается исключение подразумеваемых гарантий, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ: НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ, В ТОМ ЧИСЛЕ ВЫЗВАННЫХ ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ ХАЛАТНОСТЬ), КОМПАНИЯ ADOBE НЕ БУДЕТ НЕСТИ ОТВЕТСТВЕННОСТЬ ЗА ПРЯМЫЕ, КОСВЕННЫЕ, ПОБОЧНЫЕ, СЛУЧАЙНЫЕ ИЛИ ШТРАФНЫЕ УБЫТКИ В ЛЮБОЙ ФОРМЕ (ВКЛЮЧАЯ УБЫТКИ ВСЛЕДСТВИЕ ПОТЕРИ ПРИБЫЛИ ИЛИ ПРИОСТАНОВКИ ДЕЯТЕЛЬНОСТИ), ВЫЗВАННЫЕ ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, НЕЗАВИСИМО ОТ ФОРМЫ ИСКА (ЕСЛИ ТАКОВАЯ ОГОВОРЕНА ПО КОНТРАКТУ); ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ НЕОСТОРОЖНОСТЬ); ОТВЕТСТВЕННОСТЬЮ ЗА УЩЕРБ, НАНЕСЕННЫЙ ПРОДУКТОМ, ИЛИ ИНОЙ ФОРМОЙ ОТВЕТСТВЕННОСТИ, ДАЖЕ ЕСЛИ КОМПАНИЯ ADOBE БЫЛА ЗАРАНЕЕ УВЕДОМЛЕНА О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ ИЛИ ПОТЕРЬ. В некоторых странах не разрешается исключение ответственности за случайные или косвенные убытки, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.