ColdFusion version
Senast uppdaterad den
29 nov. 2021
Säkerhetsuppdatering: programfixar för ColdFusion
Releasedatum: 14 oktober 2014
Sårbarhets-ID: APSB14-23
Prioritet: Se tabellen nedan
CVE-nummer: CVE-2014-0570, CVE-2014-0571, CVE-2014-0572
Plattform: Alla plattformar
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion 11, 10, 9.0.2, 9.0.1 och 9.0 för alla plattformar. Dessa programfixar åtgärdar ett problem med säkerhetsbehörigheten som kan utnyttjas av icke-autentiserade lokala användare för att kringgå de åtkomstbegränsningar kopplade till IP-adress som tillämpas för ColdFusion Administrator. Sårbarheter som rör serveröverskridande skriptning (cross-site scripting) och falsk begäran mellan webbplatser åtgärdas också i programfixarna.
Berörda programversioner
ColdFusion 11, 10, 9.0.2, 9.0.1 och 9.0 för alla plattformar.
Lösning
Adobe rekommenderar ColdFusion-användare att uppdatera sina produktinstallationer enligt anvisningarna i följande Tech Note: http://helpx.adobe.com/se/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html
Man bör även tillämpa de säkerhetskonfigurationsinställningar som anges på ColdFusions säkerhetssida, samt läsa ColdFusion 11 Lockdown Guide, ColdFusion 10 Lockdown Guide och ColdFusion 9 Lockdown Guide.
Prioritet och allvarlighetsgrad
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till de senaste versionerna:
|
|
Programfix version |
Plattform |
Prioritet |
|
11 |
Uppdatering 2 |
Alla |
2 |
|
10 |
Uppdatering 14 |
Alla |
2 |
|
9.0.2 |
Uppdatering 7 |
Alla |
2 |
|
9.0.1 |
Uppdatering 12 |
Alla |
2 |
|
9.0 |
Uppdatering 13 |
Alla |
2 |
Uppdateringarna åtgärdar viktiga sårbarheter i programmet.
Detaljer
Adobe har släppt säkerhetsuppdateringar för ColdFusion 11, 10, 9.0.2, 9.0.1 och 9.0 för alla plattformar.
Dessa programfixar åtgärdar sårbarheten i samband med en falsk begäran mellan webbplatser (CVE-2014-0570).
Dessa programfixar åtgärdar en sårbarhet med serveröverskridande skriptning (CVE-2014-0571).
Dessa programfixar åtgärdar ett problem med säkerhetsbehörigheten som kan utnyttjas av icke-autentiserade lokala användare för att kringgå åtkomstbegränsningar kopplade till IP-adress (CVE-2014-0572 ).
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Craig Young från Tripwire VERT (CVE-2014-0570)
- Pete Freitag på Foundeo Inc. (CVE-2014-0571)
- Aaron Foote (CVE-2014-0572)
Friskrivningsklausul för Adobe
Licensavtal
I och med att du använder programvara från Adobe Systems Incorporated eller dess dotterföretag (”Adobe”) godkänner du följande villkor. Om du inte godkänner villkoren ska du inte använda programvaran. Villkoren i det användarlicensavtal som medföljer vid installationen eller nedladdningen av en viss programvarufil äger företräde före villkoren nedan.
Export och återexport av Adobes programvaror regleras av United States Export Administration Regulations, och sådan programvara får inte exporteras eller återexporteras till Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot. Dessutom får inte program från Adobe distribueras till personer som återfinns på listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals.
Genom att ladda ned eller använda Adobes programvaror försäkrar du att du inte är medborgare i Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien eller något annat land som USA riktat embargo mot, och att du inte återfinns på någon av listorna Table of Denial Orders, Entity List eller List of Specially Designated Nationals. Om programvaran är avsedd att användas tillsammans med ett program (”värdprogram”) från Adobe ger Adobe endast en icke-exklusiv licens för användning av programvaran tillsammans med värdprogrammet förutsatt att du har en giltig licens från Adobe för värdprogrammet. Förutom enligt vad som anges nedan licensieras sådana programvaror i enlighet med villkoren i det användarlicensavtal från Adobe som styr användningen av värdprogrammet.
FRISKRIVNING FRÅN GARANTIER: DU MEDGER ATT ADOBE INTE HAR LÄMNAT NÅGRA UTFÄSTELSER BETRÄFFANDE PROGRAMMET OCH ATT DET TILLHANDAHÅLLS ”I BEFINTLIGT SKICK” UTAN NÅGRA SOM HELST GARANTIER. ADOBE FRISKRIVER SIG FRÅN ALLT GARANTIANSVAR RÖRANDE PROGRAMVARAN, UTTRYCKLIGT ELLER UNDERFÖRSTÅTT, INKLUSIVE, UTAN INSKRÄNKNING, UNDERFÖRSTÅDD GARANTI OM LÄMPLIGHET FÖR ETT VISST ÄNDAMÅL, SÄLJBARHET, GÄNGSE KVALITET ELLER ICKE-INTRÅNG I TREDJE PARTS RÄTTIGHETER. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag för underförstådda garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.
BEGRÄNSAT ANSVAR: I INTET FALL ANSVARAR ADOBE FÖR NEDSATT ANVÄNDBARHET, AVBROTT I AFFÄRSVERKSAMHETEN ELLER NÅGRA DIREKTA ELLER INDIREKTA SKADOR (INKLUSIVE UTEBLIVNA INTÄKTER) OAVSETT ÅTGÄRDSFORM, KRÄNKNING (INKLUSIVE VÅRDSLÖSHET), STRIKT PRODUKTANSVAR ELLER ANNAT, ÄVEN OM ADOBE HAR MEDDELATS ATT SÅDANA SKADOR KAN UPPKOMMA. Lagstiftningen i vissa länder och jurisdiktioner medger inte undantag från garantier, vilket innebär att ovan nämnda begränsning inte gäller i dessa länder.
