Säkerhetsuppdatering: programfixar för ColdFusion

Releasedatum: 10 maj 2016

Senast uppdaterad: 10 juni 2016

Sårbarhets-ID: APSB16-16

Prioritet: 2

CVE-nummer: CVE-2016-1113, CVE-2016-1114, CVE-2016-1115

Plattformar: Alla

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 10, 11 och 2016. Uppdateringarna åtgärdar ett indatavalideringsfel (CVE-2016-1113), ett problem som rör verifiering av värdnamn med jokerteckenscertifikat (CVE-2016-1115). De innehåller även en uppdaterad version av biblioteket för Apache Commons Collections som minskar verkningarna av Java-deserialisering (CVE-2016-1114).
Adobe rekommenderar att kunderna implementerar uppdateringen med hjälp av anvisningarna i avsnittet Lösning nedan.

Berörda versioner

Produkt Berörda versioner Plattform
ColdFusion (version 2016) 2016.0.0 Alla
ColdFusion 11 Uppdatering 7 och tidigare versioner Alla
ColdFusion 10 Uppdatering 18 och tidigare versioner Alla

Lösning

Adobe ger denna programfix följande prioritet och rekommenderar användarna att uppdatera till de senaste versionerna:

Produkt Programfix version Plattform Prioritet Tillgänglighet
ColdFusion (version 2016) Uppdatering 1 Alla 2 Teknisk kommentar
ColdFusion 11 Uppdatering 8 Alla
2 Teknisk kommentar
ColdFusion 10 Uppdatering 19 Alla 2 Teknisk kommentar

Adobe rekommenderar ColdFusion-användare att uppdatera enligt anvisningarna i den relevanta Tech Note-artikeln:

Kunderna bör även tillämpa de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt läsa respektive Lockdown Guide.

Sårbarhetsinformation

  • Uppdateringarna åtgärdar ett viktigt indatavalideringsfel (CVE-2016-1113) som kan missbrukas för att genomföra attacker genom webbkodsinjektion (cross-site scripting).
  • Uppdateringarna innehåller en uppdaterad version av biblioteket för Apache Commons Collections för att minska verkningarna av en viktig säkerhetslucka som uppstått genom Java-deserialisering (CVE-2016-1114).
  • Uppdateringarna åtgärdar ett mindre allvarligt problem i samband med verifiering av värdnamn som påverkar jokerteckenscertifikat (CVE-2016-1115).

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Andrew Bonstrom (CVE-2016-1113)
  • Aaron Foote (CVE-2016-1114)
  • Pete Freitag på Foundeo Inc. (CVE-2016-1115)

Revisioner

10 juni 2016: Lade till tack till Aaron Foote för att han rapporterat CVE-2016-1114. 

Friskrivningsklausul för Adobe

Licensavtal

I och med att du använder programvara från Adobe Systems Incorporated eller dess dotterföretag (”Adobe”) godkänner du följande villkor. Om du inte godkänner villkoren ska du inte använda programvaran. Villkoren i det användarlicensavtal som medföljer vid installationen eller nedladdningen av en viss programvarufil äger företräde före villkoren nedan.

Export och återexport av Adobes programvaror regleras av United States Export Administration Regulations, och sådan programvara får inte exporteras eller återexporteras till Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot. Dessutom får inte program från Adobe distribueras till personer som återfinns på listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals.

Genom att ladda ned eller använda Adobes programvaror försäkrar du att du inte är medborgare i Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot, och att du inte återfinns på någon av listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Om programvaran är avsedd att användas tillsammans med ett program (”värdprogram”) från Adobe ger Adobe endast en icke-exklusiv licens för användning av programvaran tillsammans med värdprogrammet förutsatt att du har en giltig licens från Adobe för värdprogrammet. Förutom enligt vad som anges nedan licensieras sådana programvaror i enlighet med villkoren i det användarlicensavtal från Adobe som styr användningen av värdprogrammet.

FRISKRIVNING FRÅN GARANTIER: DU MEDGER ATT ADOBE INTE HAR LÄMNAT NÅGRA UTFÄSTELSER BETRÄFFANDE PROGRAMMET OCH ATT DET TILLHANDAHÅLLS ”I BEFINTLIGT SKICK” UTAN NÅGRA SOM HELST GARANTIER. ADOBE FRISKRIVER SIG FRÅN ALLT GARANTIANSVAR RÖRANDE PROGRAMVARAN, UTTRYCKLIGT ELLER UNDERFÖRSTÅTT, INKLUSIVE, UTAN INSKRÄNKNING, UNDERFÖRSTÅDD GARANTI OM LÄMPLIGHET FÖR ETT VISST ÄNDAMÅL, SÄLJBARHET, GÄNGSE KVALITET ELLER ICKE-INTRÅNG I TREDJE PARTS RÄTTIGHETER. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag för underförstådda garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.

BEGRÄNSAT ANSVAR: I INTET FALL ANSVARAR ADOBE FÖR NEDSATT ANVÄNDBARHET, AVBROTT I AFFÄRSVERKSAMHETEN ELLER NÅGRA DIREKTA ELLER INDIREKTA SKADOR (INKLUSIVE UTEBLIVNA INTÄKTER) OAVSETT ÅTGÄRDSFORM, KRÄNKNING (INKLUSIVE VÅRDSLÖSHET), STRIKT PRODUKTANSVAR ELLER ANNAT, ÄVEN OM ADOBE HAR MEDDELATS ATT SÅDANA SKADOR KAN UPPKOMMA. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag från garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.