ニュースソース:Adobe Support
以下は2017年4月25日に公開されたSecurity Update: Hotfixes available for ColdFusionを要約したものです。
概要
Adobeは、ColdFusionのバージョン10、11、2016用のセキュリティホットフィックスを公開しました。
これらのホットフィックスにより、反射型XSS(Refrected XSS)攻撃で使用されうる入力検証の問題(CVE-2017-3008)が解消されます。
これらのセキュリティホットフィックスには、Javaのデジリアライゼーションの脆弱性の問題(CVE-2017-3066)を軽減するための、Apache BlazeDSの更新版も含まれています。
これらのバージョンのユーザーは、「解決策」のセクションの指示に従いアップデートを行うことが推奨されています。
対象のバージョン
| Product | Affected Versions | Platform |
|---|---|---|
| ColdFusion (2016 release) | Update 3 and earlier versions | All |
| ColdFusion 11 | Update 11 and earlier versions | All |
| ColdFusion 10 | Update 22 and earlier versions | All |
脆弱性に関する詳細
- これらのホットフィックスは、XSS(クロスサイトスクリプティング)攻撃で悪用されるおそれのある、重大な入力検証の問題(CVE-2017-3008)を解決します。
- これらのホットフィックスには、Javaのデシリアライゼーションの重大な脆弱性の問題(CVE-2017-3066)を緩和するためのApache BlazeDSライブラリのアップデート版が含まれています。
解決策
アップデートを行ってください。
- ColdFusion (2016 release):http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-4.html
- ColdFusion 11:http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-12.html
- ColdFusion 10:http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-23.html