Adobe セキュリティ情報

ColdFusion バージョン 2018、2016 および 11 用のセキュリティアップデートが公開されました。 これらのアップデートは、任意のコード実行の原因になりかねない、3 つのクリティカルな脆弱性に対処します。

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

メモ:   

上記のテクニカルノートで参照されるセキュリティアップデートには、JDK 8u121 以降（ColdFusion 2016 対応）および JDK 7u131 または JDK 8u121 （ColdFusion 11 対応）が必要です。ご使用の ColdFusion JDK/JRE を最新バージョンにアップデートすることをお勧めします。対応する JDK アップデートを行わずに ColdFusion アップデートを適用しても、サーバーは保護されません。詳細については、関連するテクニカルノートを参照してください。

ColdFusion セキュリティページに記載のセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。

• ColdFusion 2018 自動ロックダウンガイド
• ColdFusion 2016 ロックダウンガイド 
• ColdFusion 11 ロックダウンガイド 

メモ: 

• CVE-2019-7838： この脆弱性は、ファイルのアップロードディレクトリが Web からアクセス可能な場合にのみ悪用されます。

• CVE-2019-7839： ColdFusion 11 はこの脆弱性の対象外です。

• CVE-2019-7840： この脆弱性の緩和に関する詳細については、ColdFusion バージョンのテクニカルノートを参照してください。

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• Badcode of Knownsec 404 Team （CVE-2019-7838）

• Moritz Bechler 氏（SySS GmbH）（CVE-2019-7839）

• Booz Allen Hamilton の Brenden Meeder 氏（CVE-2019-7840）

COLDFUSION 2018 HF1 以降

アプリケーションサーバーの場合

JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。

以下に例を示します。

Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルの JAVA_OPTS を編集します

WebLogic アプリケーションサーバー：  「startWeblogic.cmd」ファイルの JAVA_OPTIONS を編集します

WildFly/EAP アプリケーションサーバー： 「standalone.conf」ファイルで JAVA_OPTS を編集します

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します。

COLDFUSION 2016 HF7 以降

このセキュリティアップデートで、ColdFusion は JDK 8u121 以降である必要があります。 ご使用の ColdFusion JDK/JRE を手動で最新バージョンにアップデートすることをお勧めします。JDK/JRE をアップデートしない場合、アップデートを適用するだけではサーバーは保護されません。

アプリケーションサーバーの場合

さらに、JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。

以下に例を示します。          

Apache Tomcat アプリケーションサーバーでは、‘Catalina.bat/sh’ ファイルで JAVA_OPTS を編集します          

WebLogic アプリケーションサーバーでは、'startWeblogic.cmd' ファイルの JAVA_OPTIONS を編集します          

WildFly/EAP アプリケーションサーバーでは、「standalone.conf」ファイルで JAVA_OPTS を編集します  

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します

COLDFUSION 11 HF15 以降

このセキュリティアップデートで、ColdFusion は JDK 7u131 または JDK 8u121 以降である必要があります。 ご使用の ColdFusion JDK/JRE を手動で最新バージョンにアップデートすることをお勧めします。JDK/JRE をアップデートしない場合、アップデートを適用するだけではサーバーは保護されません。

アプリケーションサーバーの場合

さらに、J2EE インストールでは、使用しているアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに次の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。

以下に例を示します。  

Apache Tomcat アプリケーションサーバーでは、‘Catalina.bat/sh’ ファイルで JAVA_OPTS を編集します          

WebLogic アプリケーションサーバーでは、'startWeblogic.cmd' ファイルの JAVA_OPTIONS を編集します          

WildFly/EAP アプリケーションサーバーでは、「standalone.conf」ファイルで JAVA_OPTS を編集します  

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します

使用許諾契約

Adobe Incorporatedまたはその子会社（「アドビ」）のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。

アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、北朝鮮、シリア、ウクライナのクリミア地域、または米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。さらに、アドビのソフトウェア製品は取引禁止命令表、事業体リスト、または特別指定国民リストの取引禁止対象者リストに掲載されている人物へ頒布することは許可されておりません。

アドビのソフトウェア製品をダウンロードまたは使用することにより、キューバ、イラン、北朝鮮、シリア、ウクライナのクリミア地域、または米国が商品の輸出入を禁止しているいずれかの国の国民ではないこと、さらには、取引禁止命令表、事業体リスト、または特別指定国民リストに掲載されている人物ではないことを証明するものとします。本ソフトウェアが他のアドビ製品（以下「ホストアプリケーション」）との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。

保証の免責：お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、特定目的への適合性の黙示的保証、目的物の商品性、販売適性品質、または第三者の権利などを含むがこれらに限定されない、本ソフトウェアに関する明示的または黙示的による一切の保証を否認します。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。

有限責任：契約、不法行為（過失を含む）、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては偶発的または結果的損害の限定または除外が認められていないため、上記の限定または除外は適用されない場合があります。