各位
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html
I. 概要2019年3月1日 (米国時間)、アドビからソフトウエアの開発に使われるアプリケーションフレームワーク Adobe ColdFusion のセキュリティアップデート(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者がColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
** 更新: 2019年 3月 8日追記 ****************
本脆弱性を悪用するには、ColdFusion の設定を含めた幾つかの条件に依存します。本注意喚起の公開当初の文面では、脆弱性の悪用が可能な条件が曖昧な表現であったため訂正いたします。
(訂正前)攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
(訂正後)攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができます。ファイルのアップロード先を Web から閲覧可能なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
この度、JPCERT/CC Web フィードバックにお寄せいただきましたコメントを元に修正しました。今後も頂いたご意見を参考にさせていただきます。
**************************************************
アドビによると、すでに本脆弱性を悪用した攻撃の報告を受けているとのことです。脆弱性の詳細については、アドビの情報を確認してください。
アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html
II. 対象対象となる製品とバージョンは次のとおりです。
- Adobe ColdFusion 2018 Update 2 およびそれ以前
- Adobe ColdFusion 2016 Update 9 およびそれ以前
- Adobe ColdFusion 11 Update 17 およびそれ以前
III. 対策Adobe ColdFusion を次の最新のバージョンに更新してください。
- Adobe ColdFusion 2018 Update 3
- Adobe ColdFusion 2016 Update 10
- Adobe ColdFusion 11 Update 18
IV. 参考情報
アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html
アドビシステムズ株式会社
Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2019-03-04 初版
2019-03-08 「I. 概要」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
JPCERT-AT-2019-0011
JPCERT/CC
2019-03-04(新規)
2019-03-08(更新)
JPCERT/CC Alert 2019-03-04
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html
I. 概要2019年3月1日 (米国時間)、アドビからソフトウエアの開発に使われるアプリケーションフレームワーク Adobe ColdFusion のセキュリティアップデート(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者がColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
** 更新: 2019年 3月 8日追記 ****************
本脆弱性を悪用するには、ColdFusion の設定を含めた幾つかの条件に依存します。本注意喚起の公開当初の文面では、脆弱性の悪用が可能な条件が曖昧な表現であったため訂正いたします。
(訂正前)攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
(訂正後)攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができます。ファイルのアップロード先を Web から閲覧可能なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。
この度、JPCERT/CC Web フィードバックにお寄せいただきましたコメントを元に修正しました。今後も頂いたご意見を参考にさせていただきます。
**************************************************
アドビによると、すでに本脆弱性を悪用した攻撃の報告を受けているとのことです。脆弱性の詳細については、アドビの情報を確認してください。
アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html
II. 対象対象となる製品とバージョンは次のとおりです。
- Adobe ColdFusion 2018 Update 2 およびそれ以前
- Adobe ColdFusion 2016 Update 9 およびそれ以前
- Adobe ColdFusion 11 Update 17 およびそれ以前
III. 対策Adobe ColdFusion を次の最新のバージョンに更新してください。
- Adobe ColdFusion 2018 Update 3
- Adobe ColdFusion 2016 Update 10
- Adobe ColdFusion 11 Update 18
IV. 参考情報
アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html
アドビシステムズ株式会社
Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2019-03-04 初版
2019-03-08 「I. 概要」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/