Adobe セキュリティ速報

検索

最終更新日 : 2024年6月27日

Adobe ColdFusion に関するセキュリティアップデート公開 | APSB24-41

情報 ID	公開日	優先度
APSB24-41	2024 年 6 月 11 日	3

要約

ColdFusion バージョン 2023、および 2021 に関するセキュリティアップデートが公開されました。 これらのアップデートは、任意のファイルシステムの読み取りおよびセキュリティ機能のバイパスにつながる可能性がある重要な脆弱性を解決します。

対象のバージョン

製品名	アップデート番号	プラットフォーム
ColdFusion 2023	アップデート 7 とそれ以前のバージョン	すべて
ColdFusion 2021	アップデート 13 とそれ以前のバージョン	すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	アップデートバージョン	プラットフォーム	優先度評価	入手方法
ColdFusion 2023	アップデート8	すべて	3	テクニカルノート
ColdFusion 2021	アップデート 14	すべて	3	テクニカルノート

注意：

安全ではない Wddx デシリアライゼーション攻撃からの保護方法については、更新されたシリアルフィルタードキュメントを参照してください：https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

脆弱性に関する詳細

脆弱性のカテゴリー	脆弱性の影響	深刻度	CVSS 基本スコア	CVSS ベクター	CVE 番号
不正なアクセス制御 (CWE-284)	任意のファイルシステム読み取り	重要	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2024-34112
パスワードの脆弱な暗号化 (CWE-261)	セキュリティ機能のバイパス	重要	6.2	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2024-34113

謝辞：

この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。   

Brian 氏（reillyb）- CVE-2024-34112
Ian Hickey 氏（ionatomic）- CVE-2024-34113

注：アドビは、HackerOne と非公開で招待制のバグバウンティープログラムを実施しています。アドビの外部セキュリティリサーチャーとして働くことに興味がある方は、次のステップをお知らせしますので、このフォームにご記入ください。

注意：

セキュリティ保護のために、ColdFusion JDK/JRE LTS バージョンを最新リリースにアップデートすることをお勧めします。この ColdFusion ダウンロードページは定期的に更新され、インストールでサポートされている JDK バージョンの最新の Java インストーラーが含まれます（以下の表を参照）。

外部 JDK ビューの使用方法については、ColdFusion JVM の変更を参照してください。

また、ColdFusion セキュリティドキュメントに記載したセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。   

ColdFusion JDK 要件

COLDFUSION 2023（バージョン 2023.0.0.330468 以降）
アプリケーションサーバーの場合

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」という JVM フラグを設定します。

例：
Apache Tomcat アプリケーションサーバー：「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します。
WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します。
WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します。
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します。

COLDFUSION（バージョン2021.0.0.323925）以降

アプリケーションサーバーの場合  

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」

という JVM フラグを設定します。

以下に例を示します。

Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します

WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します

WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します. 

詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。