JPCERT/CCからの「Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起」をお知らせします。

---

各位

JPCERT-AT-2019-0011
JPCERT/CC
2019-03-04(新規)

2019-03-08(更新)

<<< JPCERT/CC Alert 2019-03-04 >>>
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html

I.概要

2019年3月1日 (米国時間)、アドビから ソフトウェアの開発に使われるアプリケーションフレームワーク Adobe ColdFusion のセキュリティアップデート(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者がColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

本脆弱性を悪用するには、ColdFusion の設定を含めた幾つかの条件に依存します。本注意喚起の公開当初の文面では、脆弱性の悪用が可能な条件が曖昧な表現であったため訂正いたします。

攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができます。ファイルのアップロード先を Web から閲覧可能なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

*********************************************************************

Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe ColdFusion 2016 Update 9 およびそれ以前
– Adobe ColdFusion 11 Update 17 およびそれ以前

III.対策

Adobe ColdFusion を次の最新のバージョンに更新してください。

– Adobe ColdFusion 2016 Update 10
– Adobe ColdFusion 11 Update 18

IV. 参考情報

アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________