安全性更新:ColdFusion 的修補程式已推出

發佈日期: 2014 年 10 月 14 日

弱點識別碼: APSB14-23

優先順序: 請參閱下表

CVE 編號: CVE-2014-0570、CVE-2014-0571、CVE-2014-0572

平台:所有平台

摘要

Adobe 已推出 ColdFusion 11、10、9.0.2、9.0.1 及 9.0 版的安全性修補程式,包含所有平台。這些修補程式可以解決安全性授權問題,以免未經授權的本機使用者利用這個問題略過 IP 位址存取控制限制 (適用於 ColdFusion 管理員)。 此修補程式同時也修復了跨網站指令碼和跨網站偽造要求等弱點。 

受影響的軟體版本

ColdFusion 11、10、9.0.2、9.0.1 及 9.0 版,包含所有平台。 

解決方法

Adobe 建議 ColdFusion 客戶依照以下位置的技術說明更新其安裝: http://helpx.adobe.com/tw/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html

此外,客戶也應該套用 ColdFusion 安全性頁面所述的安全性組態設定,並且檢閱 ColdFusion 11 鎖定指南ColdFusion 10 鎖定指南以及ColdFusion 9 鎖定指南的內容。

優先順序與嚴重性分級

Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:

ColdFusion 版本 修補程式版本 平台 優先順序分級
11 更新 2 全部
2
10 更新 14 全部 2
9.0.2 更新 7 全部
2
9.0.1 更新 12 全部
2
9.0
更新 13 全部
2

這些更新可解決軟體中的重要弱點。

詳細資訊

Adobe 已推出 ColdFusion 11、10、9.0.2、9.0.1 及 9.0 版的安全性修補程式,包含所有平台。 

這些修補程式可以解決跨網站偽造要求弱點 (CVE-2014-0570)。

這些修補程式可以解決跨網站指令碼弱點 (CVE-2014-0571)。

這些修補程式可以解決安全性授權問題,以免未經授權的本機使用者利用這個問題略過 IP 位址存取控制限制 (CVE-2014-0572)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

Adobe 免責聲明

授權協議

使用 Adobe Systems Incorporated 或其子公司 (下稱「Adobe」) 之軟體,即代表您同意遵守以下條款及條件。若您不同意該條款及條件,請勿使用本軟體。安裝或下載特定軟體時,隨附之使用者授權合約條款,將取代以下的條款。

Adobe 軟體產品的出口及再出口,皆受到美國出口管理規範 (US Export Administration Regulations) 之管控,且該軟體不得出口或再出口至古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞,或其他任何美國禁止通商的國家。另外,Adobe 軟體也不得分發給列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上之人士。

下載或使用 Adobe 軟體產品代表您保證自己並非古巴、伊朗、伊拉克、利比亞、北韓、蘇丹或敘利亞,或其他任何美國禁止通商的國家之國民,且您未被列在「拒絕往來名單」(Table of Denial Orders)、「實體清單」 (Entity List) 或「特別指定國民名單」(List of Specially Designated Nationals) 上。若該軟體專為與 Adobe 發行之應用程式軟體產品 (下稱「主應用程式」) 搭配使用,Adobe 會授與您一份非專屬授權書,與主應用程式一起使用該軟體,但您必須擁有 Adobe 對主應用程式之有效授權書。除以下規定,該軟體的授權尚受到 Adobe 對主應用程式的使用者授權合約之條款及條件的限制。

不為瑕疵擔保之聲明:您同意 Adobe 未對本軟體做出明示擔保,且同意本軟體僅以「現狀」提供,不含任何擔保。Adobe 不為本軟體之瑕疵作出明示或默示擔保,包含但不限於所有適合特定用途、市售性、市售品質或不侵害第三方權益之保證。由於部分州或司法管轄區不允許排除默示擔保,因此上述限制可能不適用於您。

責任限額:Adobe 無需在任何情況下對您無法使用、業務中斷,或任何直接、間接、特別、附隨或衍生性損害負責 (包括利潤損失),無論合約、侵權行為 (包括疏忽)、嚴格產品責任或其他的行為形式亦同,即使 Adobe 已預先獲知可能發生此等損害,仍無責任。由於部分州或司法管轄區不允許排除或限制突發或附隨損害,因此上述限制可能不適用於您。