Adobe セキュリティ速報

検索

最終更新日 : 2025年1月9日

Adobe ColdFusion に関するセキュリティアップデート公開 | APSB24-107

情報 ID	公開日	優先度
APSB24-107	2024 年 12 月 23 日	1

要約

ColdFusion バージョン 2023、および 2021 に関するセキュリティアップデートが公開されました。 これらのアップデートにより、ファイルシステムの恣意的な読み取りにつながる可能性のあるクリティカルな脆弱性が解決します。

 アドビは、 CVE-2024-53961 に、任意のファイルシステム読み取りにつながる可能性のある既知の概念実証があることを認識しています。

対象のバージョン

製品名	アップデート番号	プラットフォーム
ColdFusion 2023	アップデート 11 とそれ以前のバージョン	すべて
ColdFusion 2021	アップデート 17 とそれ以前のバージョン	すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	アップデートバージョン	プラットフォーム	優先度評価	入手方法
ColdFusion 2023	アップデート 12	すべて	1	テクニカルノート
ColdFusion 2021	アップデート18	すべて	1	テクニカルノート

注意：

安全ではない Wddx デシリアライゼーション攻撃からの保護方法については、更新されたシリアルフィルタードキュメントを参照してください：https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-serialfilter-file.html

脆弱性に関する詳細

脆弱性のカテゴリー	脆弱性の影響	深刻度	CVSS 基本スコア	CVSS ベクター	CVE 番号
制限付きディレクトリへのパス名の制限（「パストラバーサル」）が正しくありません。（CWE-22）	任意のファイルシステム読み取り	クリティカル	7.4	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N	CVE-2024-53961

謝辞：

この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。   

ma4ter - CVE-2024-53961

注：アドビは、HackerOne と公開バグバウンティープログラムを実施しています。外部セキュリティリサーチャーとしてアドビで働くことに興味がある方は、https://hackerone.com/adobe をご覧ください。

注意：

セキュリティ保護のために、ColdFusion JDK/JRE LTS バージョンを最新リリースにアップデートすることをお勧めします。この ColdFusion ダウンロードページは定期的に更新され、インストールでサポートされている JDK バージョンの最新の Java インストーラーが含まれます（以下の表を参照）。

外部 JDK ビューの使用方法については、ColdFusion JVM の変更を参照してください。

また、ColdFusion セキュリティドキュメントに記載したセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。   

ColdFusion JDK 要件

COLDFUSION 2023（バージョン 2023.0.0.330468 以降）
アプリケーションサーバーの場合

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」という JVM フラグを設定します。

例：
Apache Tomcat アプリケーションサーバー：「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します。
WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します。
WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します。
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します。

COLDFUSION 2021（バージョン2021.0.0.323925）以降

アプリケーションサーバーの場合  

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」

という JVM フラグを設定します。

以下に例を示します。

Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します

WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します

WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します. 

詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。