情報 ID
最終更新日 :
2022年5月19日
Adobe ColdFusion に関するセキュリティアップデート公開 | APSB22-22
|
|
公開日 |
優先度 |
|
APSB22-22 |
2022 年 5 月 10 日 |
3 |
要約
ColdFusion バージョン 2021 および 2018 に関するセキュリティアップデートが公開されました。 これらのアップデートは、任意のコード実行の原因になりかねない重要な脆弱性を解決します。
対象のバージョン
|
製品名 |
アップデート番号 |
プラットフォーム |
|
ColdFusion 2018 |
アップデート 13 とそれ以前のバージョン |
すべて |
|
ColdFusion 2021 |
バージョン 3 以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
注意:
ColdFusion JDK/JRE を LTS リリースの最新バージョン(1.8 および JDK 11)にアップデートすることをお勧めします。対応する JDK アップデートを行わずに ColdFusion アップデートを適用しても、サーバーは保護されません。詳細については、関連するテクニカルノートを参照してください。
また、ColdFusion セキュリティページに記載したセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。
脆弱性に関する詳細
謝辞
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。
- UB3RSiCK(ub3rsick)- CVE-2022-28818
ColdFusion JDK 要件
COLDFUSION(バージョン2021.0.0.323925)以降
アプリケーションサーバーの場合
JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバー:「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバー:「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します.
COLDFUSION 2018 HF1 以降
アプリケーションサーバーの場合
JEE インストールでは、ご使用のアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルで、以下の JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**」を設定します。
以下に例を示します。
Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します
WebLogic アプリケーションサーバー:「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します
WildFly/EAP アプリケーションサーバー:「standalone.conf」ファイルで JAVA_OPTS を編集します
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します.
詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
