Adobe Güvenlik Bülteni

ColdFusion için güvenlik güncellemeleri mevcut | APSB20-16

Bülten No

Yayınlandığı Tarih

Öncelik

APSB20-16

17 Mart 2020

2

Özet

Adobe, ColdFusion , 2016 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler, rastgele kod yürütmesine sebep olabilecek birden fazla kritik güvenlik açığı sorununu çözer.


Etkilenen Sürümler

Ürün

Güncelleme numarası

Platform

ColdFusion 2016

Güncelleme 13 ve daha önceki sürümler için

Tümü

ColdFusion 2018

Güncelleme 7 ve daha önceki sürümler için    

Tümü

Not:

Önerilen kilit yükleyicisi ile uygulamaya sokulmuş ColdFusion sunucuları bu güvenlik açıklarından etkilenmemektedir.

Çözüm

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:

Ürün

Güncellenen Sürüm

Platform

Öncelik derecelendirmesi

Bulunma Durumu

ColdFusion 2016

Güncelleme 14

Tümü

                   2

ColdFusion 2018

Güncelleme 8

Tümü

2

Not:

Adobe, ColdFusion JDK/JRE›yi 1.8 ve JDK 11 için en son çıkan LTS güncellemelerine yükseltmenizi önerir. ColdFusion güncellemesini ilgili JDK güncellemesiyle yapmamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın. 

JEE Uygulama Sunucuları:

JEE ColdFusion kurulumlarına (Tomcat, JBoss EAP gibi) sahip kullanıcılar https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-2018-update-8.html#jee adresindeki talimatlara başvurabilirler.

ColdFusion 11

ColdFusion 11 kullanıcılarının https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-11-mitigation-steps.html adresinde bulunan engelleme adımlarını takip etmeleri önerilir.

Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.    

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

CVE Numaraları

Uzaktan dosya okuma

Coldfusion kurulum dizininden rastgele dosya okuma

Kritik

CVE-2020-3761

Dosya kalıntıları

Web kökünde ya da alt dizininde bulunan dosyaların rastgele kod yürütmesi

Kritik

CVE-2020-3794

Teşekkür

Adobe, bu sorunları rapor ettikleri ve müşterilerimizi korumak için Adobe ile birlikte çalıştıkları için Venustech ADLab'tan Wang Cheng'e  (CVE-2020-3761, CVE-2020-3794) teşekkür eder.

ColdFusion JDK Gerekliliği

COLDFUSION 2018 HF1 ve üzeri  

Uygulama Sunucuları İçin   

JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan uygulama sunucusunun türüne göre belirli başlangıç dosyasında. 

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   

COLDFUSION 2016 HF7 ve üzeri

Bu güvenlik güncellemesi, ColdFusion'ın JDK 8u121 veya daha yüksek olmasını gerektirir. Adobe, ColdFusion JDK/JRE'yi en son sürümüne manuel olarak güncellemenizi önerir. JDK/JRE'yi güncellememeniz halinde güncellemeyi temel olarak uygulamanız sunucu güvenliğini sağlamayacaktır.

Uygulama Sunucuları İçin

Ek olarak JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", kullanılan Uygulama Sunucusu türüne bağlı olarak ilgili başlatma dosyasında. 

Örneğin:         

Apache Tomcat Uygulama Sunucusunda ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin         

WebLogic Uygulama Sunucusunda ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin         

WildFly/EAP Uygulama Sunucusunda ‘standalone.conf’ dosyasındaki JAVA_OPTS'u düzenleyin 

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın

Adobe Yasal Uyarısı

Lisans sözleşmesi

Adobe Incorporated veya bağlı şirketlerine ("Adobe") ait yazılımı kullanmakla, aşağıdaki hüküm ve koşulları kabul etmiş olursunuz. Bu hüküm ve koşulları kabul etmiyorsanız, yazılımı kullanmayın. Yazılımı indirerek veya karşıdan yükleyerek elde ettiğiniz belirli bir yazılım dosyasına eşlik eden son kullanıcı lisans sözleşmesinin koşulları, aşağıda verilen koşulların yerine geçer.

Adobe yazılım ürünlerinin ihraç edilmesi veya yeniden ihraç edilmesi, Amerika Birleşik Devletleri İhracat Düzenlemelerine tabidir ve söz konusu yazılımlar Küba, İran, Kuzey Kore, Suriye ve Ukrayna'nın Crimea bölgesi ya da Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı başka herhangi bir ülkeye ihraç veya yeniden ihraç edilemez. Ayrıca, Adobe yazılımı İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer alan kişilere dağıtılamaz. 

Bir Adobe yazılım ürününü yükleyerek veya kullanarak, Küba, İran, Kuzey Kore, Suriye ve Ukrayna'nın Crimea bölgesi ya da Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı herhangi bir ülke uyruklu olmadığınızı ve İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer almadığınızı doğrulamış olursunuz. Yazılım, Adobe tarafından yayımlanan bir uygulama yazılımı ürünüyle ("Ana Uygulama") birlikte kullanılmak üzere tasarlanmışsa, Ana Uygulama için Adobe'den geçerli bir lisansınızın bulunması koşuluyla, Adobe size bu yazılımı yalnızca Ana Uygulamayla birlikte kullanmak üzere münhasır olmayan bir lisans verir. Aşağıda belirtilen durumlar haricinde, Ana Uygulamanın kullanımını yönlendiren Son Kullanıcı Lisans Sözleşmesinin hüküm ve koşullarına tabi olarak, size bu yazılımın lisansı verilir.

GARANTİLERİN REDDİ: SİZE ADOBE TARAFINDAN YAZILIMLA İLGİLİ HİÇBİR AÇIK GARANTİ VERİLMEDİĞİNİ VE YAZILIMIN SİZE HERHANGİ TÜRDE BİR GARANTİ OLMAKSIZIN "OLDUĞU GİBİ" SAĞLANDIĞINI KABUL EDERSİNİZ. ADOBE, HERHANGİ BİR SINIRLAMA OLMAKSIZIN, BELİRLİ BİR AMACA UYGUNLUKLA İLGİLİ TÜM GARANTİLER, ORTALAMA KALİTE GARANTİSİ, SATILABİLİR KALİTE GARANTİSİ VEYA ÜÇÜNCÜ TARAF HAKLARININ İHLAL EDİLMEMESİ DAHİL OLMAK ÜZERE, YAZILIMLA İLGİLİ AÇIK VEYA DOLAYLI TÜM GARANTİLERİ REDDEDER. Bazı devletler veya yargı daireleri, dolaylı garantilerin hariç tutulmasına izin vermez; bu durumda yukarıdaki sınırlamalar sizin için geçerli olmayabilir.

SORUMLULUK SINIRI: EYLEM BİÇİMİ İSTER SÖZLEŞME İSTERSE HAKSIZ FİİL (İHMAL DAHİL) VEYA SIKI ÜRÜN SORUMLULUĞU OLSUN, ADOBE BU TÜRDE OLASI ZARARLARDAN HABERDAR EDİLMİŞ OLSA BİLE, ADOBE HERHANGİ BİR KULLANIM KAYBINDAN, İŞ KESİNTİSİNDEN VEYA HERHANGİ TÜRDE BİR DOĞRUDAN, DOLAYLI, ÖZEL, RASTLANTISAL VEYA SONUÇSAL ZARARDAN (KÂR KAYIPLARI DAHİL) HİÇBİR ŞEKİLDE SORUMLU TUTULAMAZ. Bazı eyaletlerde veya yargı bölgelerinde, rastlantısal veya sonuçsal zararların hariç tutulmasına veya bunlara sınırlama getirilmesine izin verilmemektedir; bu nedenle yukarıdaki sınırlama veya hariç tutma sizin için geçerli olmayabilir.

Adobe logosu

Hesabınıza giriş yapın