Adobe セキュリティ速報

検索

最終更新日 : 2024年9月25日

Adobe ColdFusion に関するセキュリティアップデート公開 | APSB24-71

情報 ID	公開日	優先度
APSB24-71	2024 年 9 月 10 日	3

要約

ColdFusion バージョン 2023、および 2021 に関するセキュリティアップデートが公開されました。 これらのアップデートにより、任意のコード実行につながる可能性があるクリティカルな脆弱性が解決します。

対象のバージョン

製品名	アップデート番号	プラットフォーム
ColdFusion 2023	アップデート 9 とそれ以前のバージョン	すべて
ColdFusion 2021	アップデート 15 とそれ以前のバージョン	すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	アップデートバージョン	プラットフォーム	優先度評価	入手方法
ColdFusion 2023	アップデート10	すべて	3	テクニカルノート
ColdFusion 2021	アップデート 16	すべて	3	テクニカルノート

注意：

安全ではない Wddx デシリアライゼーション攻撃からの保護方法については、更新されたシリアルフィルタードキュメントを参照してください：https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-serialfilter-file.html

脆弱性に関する詳細

脆弱性のカテゴリー	脆弱性の影響	深刻度	CVSS 基本スコア	CVSS ベクター	CVE 番号
信頼されていないデータのデシリアライゼーション（CWE-502）	任意のコード実行	クリティカル	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2024-41874

謝辞：

この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。   

sapra 氏 - CVE-2024-41874

注：アドビは、HackerOne と公開バグバウンティープログラムを実施しています。外部セキュリティリサーチャーとしてアドビで働くことに興味がある方は、こちらをご覧ください：https://hackerone.com/adobe.

注意：

セキュリティ保護のために、ColdFusion JDK/JRE LTS バージョンを最新リリースにアップデートすることをお勧めします。この ColdFusion ダウンロードページは定期的に更新され、インストールでサポートされている JDK バージョンの最新の Java インストーラーが含まれます（以下の表を参照）。

外部 JDK ビューの使用方法については、ColdFusion JVM の変更を参照してください。

また、ColdFusion セキュリティドキュメントに記載したセキュリティ構成設定を適用するとともに、該当するロックダウンガイドを確認することを推奨します。   

ColdFusion JDK 要件

COLDFUSION 2023（バージョン 2023.0.0.330468 以降）
アプリケーションサーバーの場合

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」という JVM フラグを設定します。

例：
Apache Tomcat アプリケーションサーバー：「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します。
WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します。
WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します。
スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します。

COLDFUSION 2021（バージョン2021.0.0.323925）以降

アプリケーションサーバーの場合  

JEE のインストール環境で、使用しているアプリケーションサーバーのタイプに応じて、各起動ファイル内で「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」

という JVM フラグを設定します。

以下に例を示します。

Apache Tomcat アプリケーションサーバーは、「Catalina.bat/sh」ファイルで JAVA_OPTS を編集します

WebLogic アプリケーションサーバー：「startWeblogic.cmd」ファイルで JAVA_OPTIONS を編集します

WildFly/EAP アプリケーションサーバー：「standalone.conf」ファイルで JAVA_OPTS を編集します

スタンドアロンインストールではなく、ColdFusion の JEE インストールで、JVM フラグを設定します. 

詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。