ColdFusion Sürümü
Son güncelleme:
29 Kas 2021
Güvenlik Güncellemesi: ColdFusion için mevcut düzeltmeler
Yayın tarihi: 14 Ekim 2014
Güvenlik açığı tanımlayıcısı: APSB14-23
Öncelik: Aşağıdaki tabloya bakınız
CVE Numaraları: CVE-2014-0570, CVE-2014-0571, CVE-2014-0572
Platform: Tüm Platformlar
Özet
Adobe, ColdFusion 11, 10, 9.0.2, 9.0.1 ve 9.0 sürümleri için tüm platformlarda güvenlik düzeltmeleri çıkardı. Bu düzeltmeler, ColdFusion Administrator için geçerli IP adresi erişim kontrolü kısıtlamalarını aşmak için izinsiz bir yerel kullanıcı tarafından kullanılabilecek bir güvenlik izini sorunu içindir. Bu düzeltmelerde siteler arası komut dosyası çalıştırma ve siteler arası istek sahteciliği açıkları da hedeflenmiştir.
Etkilenen yazılım sürümleri
Tüm platformlar için ColdFusion 11, 10, 9.0.2, 9.0.1 ve 9.0.
Çözüm
Adobe, ColdFusion müşterilerinin aşağıdaki bağlantıda verilen teknik nottaki talimatlardan yararlanarak yüklemelerini güncellemelerini önerir:http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html
Müşteriler aynı zamanda ColdFusion Güvenlik sayfasında belirtildiği üzere, ColdFusion 11 Güvenlik Kılavuzu ve ColdFusion 9 Güvenlik Kılavuzu'nun yanı sıra, güvenlik yapılandırma ayarlarını da uygulamalıdırlar.
Öncelik ve önem derecelendirmeleri
Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yazılımlarını en yeni sürümlere güncellemelerini önerir:
|
|
Düzeltme Sürümü |
Platform |
Öncelik derecelendirmesi |
|
11 |
Güncelleme 2 |
Tümü |
2 |
|
10 |
Güncelleme 14 |
Tümü |
2 |
|
9.0.2 |
Güncelleme 7 |
Tümü |
2 |
|
9.0.1 |
Güncelleme 12 |
Tümü |
2 |
|
9.0 |
Güncelleme 13 |
Tümü |
2 |
Bu güncellemeler yazılımdaki kritik güvenlik açıklarına yöneliktir.
Ayrıntılar
Adobe, tüm platformlarda ColdFusion 11, 10, 9.0.2, 9.0.1 ve 9.0 sürümleri için güvenlik sürümleri çıkarmıştır.
Bu düzeltmeler bir siteler arası istek sahteciliği açığını çözmektedir (CVE-2014-0570).
Bu düzeltmeler bir siteler arası komut dosyası çalıştırma açığını çözmektedir (CVE-2014-0571).
Bu düzeltmeler, ColdFusion Administrator için geçerli IP adresi erişim kontrolü kısıtlamalarını aşmak için izinsiz bir yerel kullanıcı tarafından kullanılabilecek bir güvenlik izini sorununu çözmektedir (CVE-2014-0572).
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:
- Craig Young, Tripwire VERT (CVE-2014-0570)
- Pete Freitag, Foundeo Inc. (CVE-2014-0571)
- Aaron Foote (CVE-2014-0572)
Adobe Yasal Uyarısı
Lisans sözleşmesi
Adobe Systems Incorporated veya bağlı şirketlerine ("Adobe") ait yazılımı kullanmakla, aşağıdaki hüküm ve koşulları kabul etmiş olursunuz. Bu hüküm ve koşulları kabul etmiyorsanız, yazılımı kullanmayın. Yazılımı indirerek veya karşıdan yükleyerek elde ettiğiniz belirli bir yazılım dosyasına eşlik eden son kullanıcı lisans sözleşmesinin koşulları, aşağıda verilen koşulların yerine geçer.
Adobe yazılım ürünlerinin ihracatı ve yeniden ihracatı, Amerika Birleşik Devletleri İhracat İdaresi Düzenlemeleri ile denetlenir ve bu tür yazılımlar Küba, İran, Irak, Libya, Kuzey Kore, Sudan, Suriye veya Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı başka herhangi bir ülkeye ihraç veya yeniden ihraç edilemez. Ayrıca, Adobe yazılımı İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer alan kişilere dağıtılamaz.
Bir Adobe yazılım ürününü yüklemekle veya kullanmakla, Küba, İran, Irak, Libya, Kuzey Kore, Sudan, Suriye veya Amerika Birleşik Devletleri'nin mallara ambargo uyguladığı herhangi bir ülke uyruklu olmadığınızı ve İtiraz Emirleri Tablosu, Kişi Listesi veya Özel Olarak Belirlenen Uyruk Listesi'nde yer almadığınızı doğrulamış olursunuz. Yazılım, Adobe tarafından yayımlanan bir uygulama yazılımı ürünüyle ("Ana Uygulama") birlikte kullanılmak üzere tasarlanmışsa, Ana Uygulama için Adobe'den geçerli bir lisansınızın bulunması koşuluyla, Adobe size bu yazılımı yalnızca Ana Uygulamayla birlikte kullanmak üzere münhasır olmayan bir lisans verir. Aşağıda belirtilen durumlar haricinde, Ana Uygulamanın kullanımını yönlendiren Son Kullanıcı Lisans Sözleşmesinin hüküm ve koşullarına tabi olarak, size bu yazılımın lisansı verilir.
GARANTİLERİN REDDİ: SİZE ADOBE TARAFINDAN YAZILIMLA İLGİLİ HİÇBİR AÇIK GARANTİ VERİLMEDİĞİNİ VE YAZILIMIN SİZE HERHANGİ TÜRDE BİR GARANTİ OLMAKSIZIN "OLDUĞU GİBİ" SAĞLANDIĞINI KABUL EDERSİNİZ. ADOBE, HERHANGİ BİR SINIRLAMA OLMAKSIZIN, BELİRLİ BİR AMACA UYGUNLUKLA İLGİLİ TÜM GARANTİLER, ORTALAMA KALİTE GARANTİSİ, SATILABİLİR KALİTE GARANTİSİ VEYA ÜÇÜNCÜ TARAF HAKLARININ İHLAL EDİLMEMESİ DAHİL OLMAK ÜZERE, YAZILIMLA İLGİLİ AÇIK VEYA DOLAYLI TÜM GARANTİLERİ REDDEDER. Bazı devletler veya yargı daireleri, dolaylı garantilerin hariç tutulmasına izin vermez; bu durumda yukarıdaki sınırlamalar sizin için geçerli olmayabilir.
SORUMLULUK SINIRI: EYLEM BİÇİMİ İSTER SÖZLEŞME İSTERSE HAKSIZ FİİL (İHMAL DAHİL) VEYA SIKI ÜRÜN SORUMLULUĞU OLSUN, ADOBE BU TÜRDE OLASI ZARARLARDAN HABERDAR EDİLMİŞ OLSA BİLE, ADOBE HERHANGİ BİR KULLANIM KAYBINDAN, İŞ KESİNTİSİNDEN VEYA HERHANGİ TÜRDE BİR DOĞRUDAN, DOLAYLI, ÖZEL, RASTLANTISAL VEYA SONUÇSAL ZARARDAN (KÂR KAYIPLARI DAHİL) HİÇBİR ŞEKİLDE SORUMLU TUTULAMAZ. Bazı devletler veya yargı daireleri, rastlantısal veya sonuçsal zararların hariç tutulmasına veya sınırlandırılmasına izin vermez; bu durumda yukarıdaki sınırlama veya hariç tutma hükmü sizin için geçerli olmayabilir.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi