Бюллетень безопасности Adobe

Обновления системы безопасности для ColdFusion | APSB20-16

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB20-16

17 марта 2020 г.

2

Сводка

Компания Adobe выпустила обновления безопасности для ColdFusion версий 2016 и 2018. В этих обновлениях устранено несколько критических уязвимостей, которые могли привести к выполнению произвольного кода.


Затронутые версии

Продукт

Номер обновления

Платформа

ColdFusion 2016

Обновление 13 для и более ранней версии

Все

ColdFusion 2018

Обновление 7 и более ранних версий    

Все

Примечание.

Серверы ColdFusion, развернутые с рекомендуемым установщиками блокировки, не подвержены этим уязвимостям.

Решение

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт

Обновленная версия

Платформа

Рейтинг приоритета

Доступность

ColdFusion 2016

Обновление 14

Все

                   2

ColdFusion 2018

Обновление 8

Все

2

Примечание.

Компания Adobe рекомендует обновить ColdFusion JDK/JRE до последней версии выпусков LTS для 1.8 и JDK 11. Применение обновления ColdFusion без соответствующего обновления набора средств JDK НЕ будет защищать сервер.См. соответствующие технические примечания для получения более подробной информации. 

Серверы приложений JEE:

Пользователи установленных систем JEE ColdFusion (таких как Tomcat, JBoss EAP) могут руководствоваться инструкциями на сайте https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-2018-update-8.html#jee

ColdFusion 11

Пользователям ColdFusion 11 рекомендуется применить действия по решению проблем, описанные на странице https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-11-mitigation-steps.html   

Компания Adobe также рекомендует пользователям применить настройки конфигурации системы безопасности, приведенные на странице безопасности ColdFusion, а также ознакомиться с соответствующим руководством по блокировке.    

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Номера CVE

Удаленное чтение файла

Произвольное чтение файла из каталога установки Coldfusion

Критическая

CVE-2020-3761

Включение файла

Выполнение произвольного кода файлов, находящихся в главном каталоге веб-сервера или в его подпапке

Критическая

CVE-2020-3794

Благодарности

Компания Adobe выражает благодарность Вангу Ченгу, Venustech ADLab (CVE-2020-3761, CVE-2020-3794) за сообщение о данных проблемах и за помощь Adobe в обеспечении защиты наших клиентов.

Требования для набора средств ColdFusion JDK

COLDFUSION 2018 HF1 и выше  

Для серверов приложений   

В настройках JEE установите следующий флаг JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", в соответствующем файле запуска в зависимости от типа используемого сервера приложений. 

Например:   

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd   

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf   

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.   

COLDFUSION 2016 HF7 и выше

Это обновление безопасности требует установки набора средств ColdFusion JDK 8u121 или более поздних версий. Adobe рекомендует вручную обновить JDK/JRE до последней версии. Если не обновить JDK/JRE, то простая установка обновления НЕ обеспечит защиту сервера.

Для серверов приложений

Кроме того, в настройках JEE установите следующий флаг JVM "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" в соответствующем файле запуска в зависимости от используемого сервера приложений. 

Например:         

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd

На сервере приложений WildFly/EAP измените JAVA_OPTS в файле ‘standalone.conf’

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки

Отказ от ответственности Adobe

Лицензионное соглашение

Используя программное обеспечение корпорации Adobe Incorporated или аффилированных с ней компаний (далее "Adobe"), Вы соглашаетесь со следующими условиями и положениями. Если Вы не согласны со следующими условиями, не используйте программное обеспечение. Условия лицензионного соглашения об использовании определенного программного файла после установки данного файла замещают нижеследующие условия.

Экспорт и реэкспорт программного обеспечения Adobe регулируется законодательством США об экспорте, и такое программное обеспечение не может быть экспортировано на Кубу, в Иран, Северную Корею, Сирию, Крымскую область Украины или иные страны, в отношении которых действует экспортное эмбарго США. Кроме этого, запрещен сбыт программного обеспечения Adobe физическому или юридическому лицу, занесенному в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан. 

В случае загрузки или использования программного продукта Adobe Вы гарантируете, что Вы не являетесь гражданином Кубы, Ирана, Северной Кореи, Сирии, Крымской области Украины или иной страны, в отношении которой действует экспортное эмбарго США, и что Вы не являетесь физическим или юридическим лицом, занесенным в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан Государственного казначейства США. Если программное обеспечение предназначено для использования вместе с прикладным программным продуктом (далее "ведущая прикладная система"), выпущенным Adobe, Adobe предоставляет Вам неэксклюзивную лицензию на использование такого программного обеспечения исключительно вместе с ведущей прикладной системой при условии, что Вы обладаете действительной лицензией от компании Adobe на использование ведущей прикладной системы. За исключением изложенного ниже, такое программное обеспечение предоставляется Вам на условиях лицензионного соглашения с конечным пользователем, заключенным с компанией Adobe, определяющим использование Вами ведущей прикладной системы.

ОТКАЗ ОТ ГАРАНТИЙ: ВЫ СОГЛАШАЕТЕСЬ, ЧТО КОМПАНИЯ ADOBE НЕ ДАЕТ НИКАКИХ ЯВНЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ЧТО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПРЕДОСТАВЛЯЕТСЯ ВАМ ПО ПРИНЦИПУ "КАК ЕСТЬ" БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ADOBE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ОГОВОРЕННЫХ И ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЯ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ, ПРИГОДНОСТИ ДЛЯ ПРОДАЖИ, УДОВЛЕТВОРИТЕЛЬНОГО РЫНОЧНОГО КАЧЕСТВА ИЛИ ОТСУТСТВИЯ НАРУШЕНИЙ ПРАВ ТРЕТЬИХ ЛИЦ. В некоторых странах не разрешается исключение подразумеваемых гарантий, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ: НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ, В ТОМ ЧИСЛЕ ВЫЗВАННЫХ ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ ХАЛАТНОСТЬ), КОМПАНИЯ ADOBE НЕ БУДЕТ НЕСТИ ОТВЕТСТВЕННОСТЬ ЗА ПРЯМЫЕ, КОСВЕННЫЕ, ПОБОЧНЫЕ, СЛУЧАЙНЫЕ ИЛИ ШТРАФНЫЕ УБЫТКИ В ЛЮБОЙ ФОРМЕ (ВКЛЮЧАЯ УБЫТКИ ВСЛЕДСТВИЕ ПОТЕРИ ПРИБЫЛИ ИЛИ ПРИОСТАНОВКИ ДЕЯТЕЛЬНОСТИ), ВЫЗВАННЫЕ ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, НЕЗАВИСИМО ОТ ФОРМЫ ИСКА (ЕСЛИ ТАКОВАЯ ОГОВОРЕНА ПО КОНТРАКТУ); ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ НЕОСТОРОЖНОСТЬ); ОТВЕТСТВЕННОСТЬЮ ЗА УЩЕРБ, НАНЕСЕННЫЙ ПРОДУКТОМ, ИЛИ ИНОЙ ФОРМОЙ ОТВЕТСТВЕННОСТИ, ДАЖЕ ЕСЛИ КОМПАНИЯ ADOBE БЫЛА ЗАРАНЕЕ УВЕДОМЛЕНА О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ ИЛИ ПОТЕРЬ. В некоторых странах не разрешается исключение ответственности за случайные или косвенные убытки, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.

Логотип Adobe

Вход в учетную запись