某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Adobe, ColdFusion 2018, 2016 ve 11 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler, rastgele kod yürütmesine sebep olabilecek kritik güvenlik açığı sorunlarını çözer.
| Ürün | Etkilenen Sürümler | Platform |
|---|---|---|
| ColdFusion (2018 sürümü) | 12 Temmuz sürümü (2018.0.0.310739) | Tümü |
| ColdFusion (2016 sürümü) | 6 ve daha önceki sürümleri güncelle | Tümü |
| ColdFusion 11 | Güncelleme14 ve önceki sürümler | Tümü |
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
| Ürün | Güncellenen Sürüm | Platform | Öncelik derecelendirmesi | Bulunma Durumu |
|---|---|---|---|---|
| ColdFusion 2018 | Güncelleme 1 | Tümü | 2 | Teknik not |
| ColdFusion 2016 | Güncelleme 7 | Tümü | 2 | Teknik not |
| ColdFusion 11 | Güncelleme 15 | Tümü |
2 | Teknik not |
Not:
Yukarıdaki Teknik Notlarda atıfta bulunulan güvenlik güncellemeleri JDK 8u121 (ColdFusion 2016 için) veya daha üst sürümlerini ve JDK 7u131 veya JDK 8u121 (ColdFusion 11 için) gerektirir. Adobe, ColdFusion JDK/JRE'yi en son sürüme güncellemenizi tavsiye eder. ColdFusion güncellemesini ilgili JDK güncellemesi olmadan yapmak sunucu güvenliği SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVE Numaraları |
|---|---|---|---|
| Güvenilmeyen verilerin seri durumundan çıkarılması | Rastgele kod yürütme | Kritik | CVE-2018-15965 CVE-2018-15957 CVE-2018-15958 CVE-2018-15959 |
| Bilinen bir zafiyete sahip bileşenin kullanımı | Bilgilerin Açığa Çıkması | Orta Dereceli | CVE-2018-15964 |
| Güvenlik atlatması | Rastgele klasör oluşturma | Önemli | CVE-2018-15963 |
| Dizin listeleme | Bilgilerin Açığa Çıkması | Önemli | CVE-2018-15962 |
| Sınırsız dosya yüklemesi | Rastgele kod yürütme | Kritik | CVE-2018-15961 |
| Bilinen bir zafiyete sahip bileşenin kullanımı | Rastgele dosya yazma | Kritik | CVE-2018-15960 |
Adobe, bu sorunları bildirdikleri ve müşterilerimizi korumamıza yardımcı olmak üzere Adobe ile çalıştıkları için aşağıdaki kişi ve kuruluşlara teşekkür eder:
- Code White GmbH'den Matthias Kaiser (CVE-2018-15957, )
- Venustech-Adlab'den Gsrc (CVE-2018-15958, CVE-2018-15959)
- Foundeo'dan Pete Freitag (CVE-2018-15960, CVE-2018-15961, CVE-2018-15962, CVE-2018-15963, CVE-2018-15964)
- Cognitous Ltd'den Nick Bloor (CVE-2018-15965)
COLDFUSION 2018 HF1
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla'yı ayarlayın.**;!com.sun.syndication'ı ayarlayın.**;!org.apache.commons.beanutils.**", kullanılan Uygulama Sunucusu türüne bağlı olarak ilgili başlatma dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
COLDFUSION 2016 HF7
Bu güvenlik güncellemesi, ColdFusion'ın JDK 8u121 veya daha yüksek olmasını gerektirir.Adobe, ColdFusion JDK/JRE'yi en son sürümüne manuel olarak güncellemenizi önerir. JDK/JRE'yi güncellememeniz halinde güncellemeyi temel olarak uygulamanız sunucu güvenliğini sağlamayacaktır.
Uygulama Sunucuları İçin
Ek olarak JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla'yı ayarlayın.**;!com.sun.syndication'ı ayarlayın.**;!org.apache.commons.beanutils.**", kullanılan Uygulama Sunucusu türüne bağlı olarak ilgili başlatma dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusunda ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusunda ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusunda ‘standalone.conf’ dosyasındaki JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın
COLDFUSION 11 HF15
Bu güvenlik güncellemesi ColdFusion'ın JDK 7u131 veya JDK 8u121 veya daha yüksek bir sürümde olmasını gerektirir.Adobe, ColdFusion JDK/JRE'yi en son sürümüne manuel olarak güncellemenizi önerir. JDK/JRE'yi güncellememeniz halinde güncellemeyi temel olarak uygulamanız sunucu güvenliğini sağlamayacaktır.
Uygulama Sunucuları İçin
Ayrıca J2EE yüklemelerinde aşağıdaki JVM bayrağı "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication'ı ayarlayın.**;!org.apache.commons.beanutils.**", kullanılan Uygulama Sunucusu türüne bağlı olarak ilgili başlatma dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusunda ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusunda ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusunda ‘standalone.conf’ dosyasındaki JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın
Lisans sözleşmesi
Adobe Systems Incorporated veya bağlı şirketlerine ("Adobe") ait yazılımı kullanmakla, aşağıdaki hüküm ve koşulları kabul etmiş olursunuz. Bu hüküm ve koşulları kabul etmiyorsanız, yazılımı kullanmayın. Yazılımı indirerek veya karşıdan yükleyerek elde ettiğiniz belirli bir yazılım dosyasına eşlik eden son kullanıcı lisans sözleşmesinin koşulları, aşağıda verilen koşulların yerine geçer.
Adobe yazılım ürünlerinin ihracatı ve yeniden ihracatı, Amerika Birleşik Devletleri İhracat İdaresi Düzenlemeleri ile denetlenir ve bu tür yazılımlar Küba, İran, Irak, Libya, Kuzey Kore, Sudan, Suriye veya Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı başka herhangi bir ülkeye ihraç veya yeniden ihraç edilemez. Ayrıca, Adobe yazılımı İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer alan kişilere dağıtılamaz.
Bir Adobe yazılım ürününü yüklemekle veya kullanmakla, Küba, İran, Irak, Libya, Kuzey Kore, Sudan, Suriye veya Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı herhangi bir ülke uyruklu olmadığınızı ve İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer almadığınızı doğrulamış olursunuz. Yazılım, Adobe tarafından yayımlanan bir uygulama yazılımı ürünüyle ("Ana Uygulama") birlikte kullanılmak üzere tasarlanmışsa, Ana Uygulama için Adobe'den geçerli bir lisansınızın bulunması koşuluyla, Adobe size bu yazılımı yalnızca Ana Uygulamayla birlikte kullanmak üzere münhasır olmayan bir lisans verir. Aşağıda belirtilen durumlar haricinde, Ana Uygulamanın kullanımını yönlendiren Son Kullanıcı Lisans Sözleşmesinin hüküm ve koşullarına tabi olarak, size bu yazılımın lisansı verilir.
GARANTİLERİN REDDİ: SİZE ADOBE TARAFINDAN YAZILIMLA İLGİLİ HİÇBİR AÇIK GARANTİ VERİLMEDİĞİNİ VE YAZILIMIN SİZE HERHANGİ TÜRDE BİR GARANTİ OLMAKSIZIN "OLDUĞU GİBİ" SAĞLANDIĞINI KABUL EDERSİNİZ. ADOBE, HERHANGİ BİR SINIRLAMA OLMAKSIZIN, BELİRLİ BİR AMACA UYGUNLUKLA İLGİLİ TÜM GARANTİLER, ORTALAMA KALİTE GARANTİSİ, SATILABİLİR KALİTE GARANTİSİ VEYA ÜÇÜNCÜ TARAF HAKLARININ İHLAL EDİLMEMESİ DAHİL OLMAK ÜZERE, YAZILIMLA İLGİLİ AÇIK VEYA DOLAYLI TÜM GARANTİLERİ REDDEDER. Bazı devletler veya yargı daireleri, dolaylı garantilerin hariç tutulmasına izin vermez; bu durumda yukarıdaki sınırlamalar sizin için geçerli olmayabilir.
SORUMLULUK SINIRI: EYLEM BİÇİMİ İSTER SÖZLEŞME İSTERSE HAKSIZ FİİL (İHMAL DAHİL) VEYA SIKI ÜRÜN SORUMLULUĞU OLSUN, ADOBE BU TÜRDE OLASI ZARARLARDAN HABERDAR EDİLMİŞ OLSA BİLE, ADOBE HERHANGİ BİR KULLANIM KAYBINDAN, İŞ KESİNTİSİNDEN VEYA HERHANGİ TÜRDE BİR DOĞRUDAN, DOLAYLI, ÖZEL, RASTLANTISAL VEYA SONUÇSAL ZARARDAN (KÂR KAYIPLARI DAHİL) HİÇBİR ŞEKİLDE SORUMLU TUTULAMAZ. Bazı devletler veya yargı daireleri, rastlantısal veya sonuçsal zararların hariç tutulmasına veya sınırlandırılmasına izin vermez; bu durumda yukarıdaki sınırlama veya hariç tutma hükmü sizin için geçerli olmayabilir.