Бюллетень безопасности Adobe

Дата выпуска: 14 октября 2014 г.

Идентификатор уязвимости: APSB14-23

Приоритет: см. таблицу ниже

Номера CVE:  CVE-2014-0570, CVE-2014-0571, CVE-2014-0572

Платформа: все платформы

Сводка

Компания Adobe выпустила исправления системы безопасности для ColdFusion версий 11, 10, 9.0.2, 9.0.1 и 9.0 для всех платформ.  Эти исправления направлены на решение проблемы безопасности, связанной с тем, что локальные пользователи могут без разрешения обойти ограничения контроля доступа по IP-адресу, установленные администратором ColdFusion.  В этих исправлениях также устранены уязвимости, связанные со сценариями между сайтами и подделкой межсайтовых запросов. 

Затрагиваемые версии программного обеспечения

ColdFusion 11, 10, 9.0.2, 9.0.1 и 9.0 для всех платформ. 

Решение

Adobe рекомендует пользователям версии ColdFusion произвести обновление, следуя инструкциям, приведенным в «Технических замечаниях» по адресу: http://helpx.adobe.com/ru/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html

Пользователям также необходимо применить настройки конфигурации системы безопасности, приведенные на странице обеспечения безопасности ColdFusion, а также ознакомиться с руководством по блокировке ColdFusion 11, руководством по блокировке ColdFusion 10 и  руководством по блокировке ColdFusion 9.

Рейтинги приоритета и важности

 Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

В этих обновлениях исправлены важные уязвимости программного обеспечения.

Сведения

Компания Adobe выпустила исправления системы безопасности для ColdFusion версий 11, 10, 9.0.2, 9.0.1 и 9.0 для всех платформ.  

Эти исправления направлены на устранение уязвимости, связанной с подделкой межсайтовых запросов (CVE-2014-0570).

Эти исправления направлены на устранение уязвимости, связанной со сценариями между сайтами (CVE-2014-0571).

Эти исправления направлены на решение проблемы безопасности, связанной с тем, что локальные пользователи могут без разрешения обойти ограничения контроля доступа по IP-адресу (CVE-2014-0572).

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

• Крэйг Янг из Tripwire VERT (CVE-2014-0570)
• Питу Фрейтагу, Foundeo Inc. (CVE-2014-0571)
• Аарон Фут (CVE-2014-0572)

Отказ от ответственности Adobe

Лицензионное соглашение

Используя программное обеспечение корпорации Adobe Systems Incorporated или аффилированных с ней компаний (далее "Adobe"), Вы соглашаетесь со следующими условиями и положениями. Если Вы не согласны со следующими условиями, не используйте программное обеспечение. Условия лицензионного соглашения об использовании определенного программного файла после установки данного файла замещают нижеследующие условия.

Экспорт и реэкспорт программного обеспечения Adobe регулируется законодательством США об экспорте, и такое программное обеспечение не может быть экспортировано на Кубу, в Иран, Ирак, Ливию, Северную Корею, Судан или Сирию или иные страны, в отношении которых действует экспортное эмбарго США. Кроме этого, запрещен сбыт программного обеспечения Adobe физическому или юридическому лицу, занесенному в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан.

В случае загрузки или использования программного продукта Adobe Вы гарантируете, что Вы не являетесь гражданином Кубы, Ирана, Ирака, Ливии, Северной Кореи, Судана или Сирии или иной страны, в отношении которой действует экспортное эмбарго США, и что Вы не являетесь физическим или юридическим лицом, занесенным в список запрета на торговлю Министерства торговли США, список организаций Бюро экспортного контроля США или список особо отмеченных иностранных граждан. Если программное обеспечение предназначено для использования вместе с прикладным программным продуктом (далее "ведущая прикладная система"), выпущенным Adobe, Adobe предоставляет Вам неэксклюзивную лицензию на использование такого программного обеспечения исключительно вместе с ведущей прикладной системой при условии, что Вы обладаете действительной лицензией от компании Adobe на использование ведущей прикладной системы. За исключением изложенного ниже, такое программное обеспечение предоставляется Вам на условиях лицензионного соглашения с конечным пользователем, заключенным с компанией Adobe, определяющим использование Вами ведущей прикладной системы.

ОТКАЗ ОТ ГАРАНТИЙ: ВЫ СОГЛАШАЕТЕСЬ, ЧТО КОМПАНИЯ ADOBE НЕ ДАЕТ НИКАКИХ ЯВНЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ЧТО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПРЕДОСТАВЛЯЕТСЯ ВАМ ПО ПРИНЦИПУ "КАК ЕСТЬ" БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ADOBE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ОГОВОРЕННЫХ И ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ ОТНОСИТЕЛЬНО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЯ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ, ПРИГОДНОСТИ ДЛЯ ПРОДАЖИ, УДОВЛЕТВОРИТЕЛЬНОГО РЫНОЧНОГО КАЧЕСТВА ИЛИ ОТСУТСТВИЯ НАРУШЕНИЙ ПРАВ ТРЕТЬИХ ЛИЦ. В некоторых странах не разрешается исключение подразумеваемых гарантий, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ: НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ, В ТОМ ЧИСЛЕ ВЫЗВАННЫХ ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ ХАЛАТНОСТЬ), КОМПАНИЯ ADOBE НЕ БУДЕТ НЕСТИ ОТВЕТСТВЕННОСТЬ ЗА ПРЯМЫЕ, КОСВЕННЫЕ, ПОБОЧНЫЕ, СЛУЧАЙНЫЕ ИЛИ ШТРАФНЫЕ УБЫТКИ В ЛЮБОЙ ФОРМЕ (ВКЛЮЧАЯ УБЫТКИ ВСЛЕДСТВИЕ ПОТЕРИ ПРИБЫЛИ ИЛИ ПРИОСТАНОВКИ ДЕЯТЕЛЬНОСТИ), ВЫЗВАННЫЕ ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, НЕЗАВИСИМО ОТ ФОРМЫ ИСКА (ЕСЛИ ТАКОВАЯ ОГОВОРЕНА ПО КОНТРАКТУ); ГРАЖДАНСКИМ ПРАВОНАРУШЕНИЕМ (ВКЛЮЧАЯ НЕОСТОРОЖНОСТЬ); ОТВЕТСТВЕННОСТЬЮ ЗА УЩЕРБ, НАНЕСЕННЫЙ ПРОДУКТОМ, ИЛИ ИНОЙ ФОРМОЙ ОТВЕТСТВЕННОСТИ, ДАЖЕ ЕСЛИ КОМПАНИЯ ADOBE БЫЛА ЗАРАНЕЕ УВЕДОМЛЕНА О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ ИЛИ ПОТЕРЬ. В некоторых странах не разрешается исключение ответственности за случайные или косвенные убытки, в связи с чем некоторые из изложенных выше положений могут не распространяться на Вас.