某些 Creative Cloud 应用程序、服务和功能在中国不可用。
| 製品名 | 対象のバージョン | プラットフォーム |
|---|---|---|
| ColdFusion 2018 | アップデート 1 とそれ以前のバージョン | すべて |
| ColdFusion 2016 | アップデート 7 とそれ以前のバージョン | すべて |
| ColdFusion 11 | アップデート 15 とそれ以前のバージョン | すべて |
アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
注意:
上記のテクニカルノートで参照されるセキュリティアップデートには、JDK 8u121 以降(ColdFusion 2016 対応)および JDK 7u131 または JDK 8u121 (ColdFusion 11 対応)が必要です。ご使用の ColdFusion JDK/JRE を最新バージョンにアップデートすることをお勧めします。対応する JDK アップデートを行わずに ColdFusion アップデートを適用しても、サーバーは保護されません。 詳細については、関連するテクニカルノートを参照してください。
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | CVE 番号 |
|---|---|---|---|
| 信頼されないデータのデシリアライゼーション | 任意のコード実行 | クリティカル | CVE-2019-7091 |
| クロスサイトスクリプティング | 情報漏えい | 重要 | CVE-2019-7092 |
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
- Venustech ADLab の Wang Cheng 氏(CVE-2019-7091)
- Foundeo Inc. の Pete Freitag 氏(CVE-2019-7092)
COLDFUSION 2018 HF1
アプリケーションサーバーの場合
JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルの JAVA_OPTS を編集します
WebLogic アプリケーションサーバー: 「startWeblogic.cmd」ファイルの JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバー: 「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します。
COLDFUSION 2016 HF7
このセキュリティアップデートで、ColdFusion は JDK 8u121 以降である必要があります。 ご使用の ColdFusion JDK/JRE を手動で最新バージョンにアップデートすることをお勧めします。JDK/JRE をアップデートしない場合、アップデートを適用するだけではサーバーは保護されません。
アプリケーションサーバーの場合
さらに、JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーでは、‘Catalina.bat/sh’ ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバーでは、'startWeblogic.cmd' ファイルの JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバーでは、「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します
COLDFUSION 11 HF15
このセキュリティアップデートで、ColdFusion は JDK 7u131 または JDK 8u121 以降である必要があります。 ご使用の ColdFusion JDK/JRE を手動で最新バージョンにアップデートすることをお勧めします。JDK/JRE をアップデートしない場合、アップデートを適用するだけではサーバーは保護されません。
アプリケーションサーバーの場合
さらに、J2EE インストールでは、使用しているアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに次の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーでは、‘Catalina.bat/sh’ ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバーでは、'startWeblogic.cmd' ファイルの JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバーでは、「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します
使用許諾契約
Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。