Adobe-säkerhetsbulletin
Säkerhetsuppdateringar som är tillgängliga för ColdFusion | APSB18-14
Bulletin-ID Publiceringsdatum Prioritet
APSB18-14 10 april 2018 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 11 och 2016. Dessa uppdateringar löser en viktig sårbarhet vid osäker inläsning av bibliotek (CVE-2018-4938), en viktig sårbarhet vid serveröverskridande skriptattacker som kan leda till kodinjicering (CVE-2018-4940), samt en viktig sårbarhet vid serveröverskridande skriptattacker som kan leda till informationsexponering (CVE-2018-4941). Uppdateringarna omfattar också lindring av en kritisk sårbarhet vid osäker Java-deserialisering (CVE-2018-4939), samt lindring av en kritisk sårbarhet vid osäker XML-avkodning (CVE-2018-4942).

Berörda versioner

Produkt Berörda versioner Plattform
ColdFusion (version 2016) Uppdatering 5 och tidigare versioner Alla
ColdFusion 11 Uppdatering 13 och tidigare versioner Alla

Lösning

Adobe ger denna uppdatering följande prioritetsklassificering och rekommenderar användarna att uppdatera till den senaste versionen:

Produkt Uppdaterad version Plattform Prioritet Tillgänglighet
ColdFusion (version 2016) Uppdatering 6 Alla 2 Teknisk kommentar
ColdFusion 11 Uppdatering 14 Alla
2 Teknisk kommentar

Obs!

Säkerhetsuppdateringarna som nämns i ovanstående tekniska kommentarer kräver JDK 8u121 eller senare (för ColdFusion 2016) och JDK 7u131 eller JDK 8u121 (för ColdFusion 11). Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering. Mer information finns i tillämplig teknisk kommentar.

Man bör även tillämpa de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt läsa respektive Lockdown Guide.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Osäker inläsning av bibliotek Lokal eskalering av behörigheter Viktig CVE-2018-4938
Deserialisering av ej tillförlitliga data Fjärrexekvering av kod Kritisk CVE-2018-4939
Serveröverskridande skriptattacker Informationsexponering Viktig CVE-2018-4940
Serveröverskridande skriptattacker Informationsexponering Viktig CVE-2018-4941
Osäker XML-behandling av extern enhet Informationsexponering Kritisk CVE-2018-4942

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Nitesh Shilpkar (CVE-2018-4938)
  • Nick Bloor vid NCC Group (CVE-2018-4939)
  • Jaaziel Sam Carlos (CVE-2018-4940)
  • William Eatman och Michael S. O'Dell från USRA (CVE-2018-4941)
  • Matthias Kaiser vid Code White GmbH (CVE-2018-4942)

JDK-krav för ColdFusion

COLDFUSION 2016 HF6

Den här säkerhetsuppdateringen kräver att ColdFusion har JDK 8u121 eller senare. Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering.

För programservrar

Ange också följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", i respektive startfil beroende på vilken typ av programserver som används.

Till exempel:

Redigera JAVA_OPTS i filen Catalina.bat/sh på Apache Tomcat Application Server

Redigera JAVA_OPTIONS i filen startWeblogic.cmd på WebLogic Application Server

Redigera JAVA_OPTS i filen standalone.conf på WildFly/EAP Application Server

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.

COLDFUSION 11 HF14

Den här säkerhetsuppdateringen kräver att ColdFusion har JDK 7u131 eller JDK 8u121 eller senare.

Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering.

För Application Servrar

Ange också följande JVM-flagga på J2EE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**", i respektive startfil beroende på vilken typ av programserver som används.

Till exempel:

Redigera JAVA_OPTS i filen Catalina.bat/sh på Apache Tomcat Application Server

Redigera JAVA_OPTIONS i filen startWeblogic.cmd på WebLogic Application Server

Redigera JAVA_OPTS i filen standalone.conf på WildFly/EAP Application Server

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.

Friskrivningsklausul för Adobe

Licensavtal

I och med att du använder programvara från Adobe Systems Incorporated eller dess dotterföretag (”Adobe”) godkänner du följande villkor. Om du inte godkänner villkoren ska du inte använda programvaran. Villkoren i det användarlicensavtal som medföljer vid installationen eller nedladdningen av en viss programvarufil äger företräde före villkoren nedan.

Export och återexport av Adobes programvaror regleras av United States Export Administration Regulations, och sådan programvara får inte exporteras eller återexporteras till Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot. Dessutom får inte program från Adobe distribueras till personer som återfinns på listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals.

Genom att ladda ned eller använda Adobes programvaror försäkrar du att du inte är medborgare i Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot, och att du inte återfinns på någon av listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Om programvaran är avsedd att användas tillsammans med ett program (”värdprogram”) från Adobe ger Adobe endast en icke-exklusiv licens för användning av programvaran tillsammans med värdprogrammet förutsatt att du har en giltig licens från Adobe för värdprogrammet. Förutom enligt vad som anges nedan licensieras sådana programvaror i enlighet med villkoren i det användarlicensavtal från Adobe som styr användningen av värdprogrammet.

FRISKRIVNING FRÅN GARANTIER: DU MEDGER ATT ADOBE INTE HAR LÄMNAT NÅGRA UTFÄSTELSER BETRÄFFANDE PROGRAMMET OCH ATT DET TILLHANDAHÅLLS ”I BEFINTLIGT SKICK” UTAN NÅGRA SOM HELST GARANTIER. ADOBE FRISKRIVER SIG FRÅN ALLT GARANTIANSVAR RÖRANDE PROGRAMVARAN, UTTRYCKLIGT ELLER UNDERFÖRSTÅTT, INKLUSIVE, UTAN INSKRÄNKNING, UNDERFÖRSTÅDD GARANTI OM LÄMPLIGHET FÖR ETT VISST ÄNDAMÅL, SÄLJBARHET, GÄNGSE KVALITET ELLER ICKE-INTRÅNG I TREDJE PARTS RÄTTIGHETER. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag för underförstådda garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.

BEGRÄNSAT ANSVAR: I INTET FALL ANSVARAR ADOBE FÖR NEDSATT ANVÄNDBARHET, AVBROTT I AFFÄRSVERKSAMHETEN ELLER NÅGRA DIREKTA ELLER INDIREKTA SKADOR (INKLUSIVE UTEBLIVNA INTÄKTER) OAVSETT ÅTGÄRDSFORM, KRÄNKNING (INKLUSIVE VÅRDSLÖSHET), STRIKT PRODUKTANSVAR ELLER ANNAT, ÄVEN OM ADOBE HAR MEDDELATS ATT SÅDANA SKADOR KAN UPPKOMMA. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag från garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.