情報 ID
最終更新日 :
2022年1月14日
ColdFusion に関するセキュリティアップデート公開 | APSB20-16
|
|
公開日 |
優先度 |
|
APSB20-16 |
2020 年 3 月 17 日 |
2 |
要約
ColdFusion バージョン 2016 および 2018 用のセキュリティアップデートが公開されました。これらのアップデートは、任意のコード実行の原因になりかねない、複数のクリティカルな脆弱性を解決します。
対象のバージョン
|
製品名 |
アップデート番号 |
プラットフォーム |
|
ColdFusion 2016 |
アップデート 13 とそれ以前のバージョン |
すべて |
|
ColdFusion 2018 |
アップデート 7 とそれ以前のバージョン |
すべて |
注意:
推奨のロックダウンインストーラーを使用してデプロイされた ColdFusion サーバーは、この脆弱性の影響を受けません。
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
注意:
ColdFusion JDK/JRE を LTS リリースの最新バージョン(1.8 および JDK 11)にアップデートすることをお勧めします。対応する JDK アップデートを行わずに ColdFusion アップデートを適用しても、サーバーは保護されません。詳細については、関連するテクニカルノートを参照してください。
JEE アプリケーションサーバー:
JEE ColdFusion のデプロイメント(Tomcat、JBoss EAP など)を行っているユーザーは、https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-update-8.html#jee の手順を参照してください。
ColdFusion 11
ColdFusion 11 ユーザーの皆様には、https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-11-mitigation-steps.html で概説されている緩和手順を適用することをお勧めします。
また、ColdFusion セキュリティページに記載したセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。
脆弱性に関する詳細
|
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVE 番号 |
|
リモートファイル読み取り |
Coldfusion インストールディレクトリから読み取る任意のファイル |
クリティカル |
CVE-2020-3761 |
|
ファイルの組み込み |
Webroot またはそのサブディレクトリにあるファイルの任意のコード実行 |
クリティカル |
CVE-2020-3794 |
謝辞
ColdFusion JDK 要件
COLDFUSION 2018 HF1 以降
アプリケーションサーバーの場合
JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバー:「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバー:「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します.
COLDFUSION 2016 HF7 以降
このセキュリティアップデートで、ColdFusion は JDK 8u121 以降である必要があります。ご使用の ColdFusion JDK/JRE を手動で最新バージョンにアップデートすることをお勧めします。JDK/JRE をアップデートしない場合、アップデートを適用するだけではサーバーは保護されません。
アプリケーションサーバーの場合
さらに、JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーでは、‘Catalina.bat/sh’ ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバーでは、'startWeblogic.cmd' ファイルで JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバーでは、'standalone.conf' ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します
免責条項
使用許諾契約
Adobe Incorporated またはその子会社(「アドビ」)のソフトウェアを使用すると、下記の利用条件を承諾したことになります。利用条件を承諾しない場合は、このソフトウェアを使用しないでください。特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、北朝鮮、シリア、ウクライナのクリミア地域、または米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。さらに、アドビのソフトウェア製品は取引禁止命令表、事業体リスト、または特別指定国民リストの取引禁止対象者リストに掲載されている人物へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、キューバ、イラン、北朝鮮、シリア、ウクライナのクリミア地域、または米国が商品の輸出入を禁止しているいずれかの国の国民ではないこと、さらには、取引禁止命令表、事業体リスト、または特別指定国民リストに掲載されている人物ではないことを証明するものとします。本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、特定目的への適合性の黙示的保証、目的物の商品性、販売適性品質、または第三者の権利などを含むがこれらに限定されない、本ソフトウェアに関する明示的または黙示的による一切の保証を否認します。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては偶発的または結果的損害の限定または除外が認められていないため、上記の限定または除外は適用されない場合があります。
