Adobe-säkerhetsbulletin

Säkerhetsuppdateringar som är tillgängliga för ColdFusion | APSB20-16

Bulletin-ID

Publiceringsdatum

Prioritet

APSB20-16

17 mars 2020

2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för ColdFusion-versionerna 2016 och 2018. Dessa uppdateringar åtgärdar flera kritiska säkerhetsluckor som kan leda till kodexekvering. 


Berörda versioner

Produkt

Uppdateringsnummer

Plattform

ColdFusion 2016

Uppdatering 13 och tidigare version

Alla

ColdFusion 2018

Uppdatering 7 och tidigare versioner    

Alla

Obs!

ColdFusion-servrar som driftsatts med det rekommenderade installationsprogrammet för låsning påverkas inte av dessa säkerhetsluckor.

Lösning

Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Uppdaterad version

Plattform

Prioritet

Tillgänglighet

ColdFusion 2016

Uppdatering 14

Alla

                   2

ColdFusion 2018

Uppdatering 8

Alla

2

Obs!

Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE till den senaste versionen av LTS-versionerna för 1.8 och JDK 11. Servern skyddas INTE om du gör ColdFusion-uppdateringen utan motsvarande JDK-uppdatering.  Mer information finns i tillämplig teknisk kommentar. 

JEE-programservrar:

Användare som har JEE ColdFusion-distributioner (till exempel Tomcat och JBoss EAP) kan läsa instruktionerna i https://helpx.adobe.com/se/coldfusion/kb/coldfusion-2018-update-8.html#jee

ColdFusion 11

Vi rekommenderar att ColdFusion 11-användare vidtar de avhjälpande åtgärder som beskrivs i https://helpx.adobe.com/se/coldfusion/kb/coldfusion-11-mitigation-steps.html

Adobe rekommenderar även att kunderna använder de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida samt att de läser igenom respektive Lockdown Guide. 

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVE-nummer

Fjärrläsning av fil

Läsning av godtyckliga filer från ColdFusion-installationskatalogen

Kritisk

CVE-2020-3761

Filinkludering  

Exekvering av godtycklig kod för filer i webbroten eller en underkatalog

Kritisk

CVE-2020-3794

Tack

Adobe tackar Wang Cheng på Venustech ADLab (CVE-2020-3761, CVE-2020-3794) för att ha rapporterat problemen och för att ha samarbetat med Adobe i säkerhetsfrågor.

JDK-krav för ColdFusion

COLDFUSION 2018 HF1 och senare  

För programservrar   

Ange följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används.  

Till exempel:   

Apache Tomcat Application Server: Redigera JAVA_OPTS i filen Catalina.bat/sh 

WebLogic Application Server:  Redigera JAVA_OPTIONS i filen startWeblogic.cmd 

WildFly/EAP Application Server:  Redigera JAVA_OPTS i filen standalone.conf 

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.   

COLDFUSION 2016 HF7 och senare

Den här säkerhetsuppdateringen kräver att ColdFusion har JDK 8u121 eller senare. Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE manuellt till den senaste versionen. Om du inte uppdaterar JDK/JRE skyddas servern INTE om du bara tillämpar uppdateringen.

För programservrar

Ange också följande JVM-flagga på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive startfil beroende på vilken typ av programserver som används. 

Till exempel:         

Redigera JAVA_OPTS i filen Catalina.bat/sh på Apache Tomcat Application Server         

Redigera JAVA_OPTIONS i filen startWeblogic.cmd på WebLogic Application Server         

Redigera JAVA_OPTS i filen standalone.conf på WildFly/EAP Application Server 

Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation

Friskrivningsklausul för Adobe

Licensavtal

I och med att du använder programvara från Adobe Incorporated eller dess dotterföretag (”Adobe”) godkänner du följande villkor. Om du inte godkänner villkoren ska du inte använda programvaran. Villkoren i det användarlicensavtal som medföljer vid installationen eller nedladdningen av en viss programvarufil äger företräde före villkoren nedan.

Export och återexport av Adobes programvaror regleras av United States Export Administration Regulations, och sådan programvara får inte exporteras eller återexporteras till Kuba, Iran, Nordkorea, Syrien och Krimregionen i Ukraina eller något annat land som USA riktat embargo mot. Dessutom får inte program från Adobe distribueras till personer som återfinns på listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals. 

Genom att ladda ned eller använda Adobes programvaror försäkrar du att du inte är medborgare i Kuba, Iran, Nordkorea, Syrien och Krimregionen i Ukraina eller något annat land som USA riktat embargo mot, och att du inte återfinns på någon av listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Om programvaran är avsedd att användas tillsammans med ett program (”värdprogram”) från Adobe ger Adobe endast en icke-exklusiv licens för användning av programvaran tillsammans med värdprogrammet förutsatt att du har en giltig licens från Adobe för värdprogrammet. Förutom enligt vad som anges nedan licensieras sådana programvaror i enlighet med villkoren i det användarlicensavtal från Adobe som styr användningen av värdprogrammet.

FRISKRIVNING FRÅN GARANTIER: DU MEDGER ATT ADOBE INTE HAR LÄMNAT NÅGRA UTFÄSTELSER BETRÄFFANDE PROGRAMMET OCH ATT DET TILLHANDAHÅLLS ”I BEFINTLIGT SKICK” UTAN NÅGRA SOM HELST GARANTIER. ADOBE FRISKRIVER SIG FRÅN ALLT GARANTIANSVAR RÖRANDE PROGRAMVARAN, UTTRYCKLIGT ELLER UNDERFÖRSTÅTT, INKLUSIVE, UTAN INSKRÄNKNING, UNDERFÖRSTÅDD GARANTI OM LÄMPLIGHET FÖR ETT VISST ÄNDAMÅL, SÄLJBARHET, GÄNGSE KVALITET ELLER ICKE-INTRÅNG I TREDJE PARTS RÄTTIGHETER. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag för underförstådda garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.

BEGRÄNSAT ANSVAR: I INTET FALL ANSVARAR ADOBE FÖR NEDSATT ANVÄNDBARHET, AVBROTT I AFFÄRSVERKSAMHETEN ELLER NÅGRA DIREKTA ELLER INDIREKTA SKADOR (INKLUSIVE UTEBLIVNA INTÄKTER) OAVSETT ÅTGÄRDSFORM, KRÄNKNING (INKLUSIVE VÅRDSLÖSHET), STRIKT PRODUKTANSVAR ELLER ANNAT, ÄVEN OM ADOBE HAR MEDDELATS ATT SÅDANA SKADOR KAN UPPKOMMA. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag från garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.

Adobes logotyp

Logga in på ditt konto