-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2019-0011
                                                             JPCERT/CC
                                                      2019-03-04(新規)
                                                      2019-03-08(更新)

                  <<< JPCERT/CC Alert 2019-03-04 >>>

         Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起

            https://www.jpcert.or.jp/at/2019/at190011.html

I. 概要
2019年3月1日 (米国時間)、アドビからソフトウエアの開発に使われるアプリ
ケーションフレームワーク Adobe ColdFusion のセキュリティアップデート
(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用する
ことで、ファイルアップロードの制限を回避して Web から閲覧可能なディレ
クトリにファイルをアップロードすることができます。結果として、攻撃者が
ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があ
ります。

** 更新: 2019年 3月 8日追記 *****************************************
本脆弱性を悪用するには、ColdFusion の設定を含めた幾つかの条件に依存し
ます。本注意喚起の公開当初の文面では、脆弱性の悪用が可能な条件が曖昧
な表現であったため訂正いたします。

(訂正前)
攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避し
て Web から閲覧可能なディレクトリにファイルをアップロードすることがで
きます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任
意のコードを実行する可能性があります。

(訂正後)
攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実
行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップ
ロードすることができます。ファイルのアップロード先を Web から閲覧可能
なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃
者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性
があります。

この度、JPCERT/CC Web フィードバックにお寄せいただきましたコメントを
元に修正しました。今後も頂いたご意見を参考にさせていただきます。
*********************************************************************

アドビによると、すでに本脆弱性を悪用した攻撃の報告を受けているとのこと
です。脆弱性の詳細については、アドビの情報を確認してください。

    アドビシステムズ株式会社
    Security updates available for ColdFusion | APSB19-14
    https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html


II. 対象
対象となる製品とバージョンは次のとおりです。

  -  Adobe ColdFusion 2018 Update 2 およびそれ以前
  -  Adobe ColdFusion 2016 Update 9 およびそれ以前
  -  Adobe ColdFusion 11 Update 17 およびそれ以前


III. 対策
Adobe ColdFusion を次の最新のバージョンに更新してください。

  -  Adobe ColdFusion 2018 Update 3
  -  Adobe ColdFusion 2016 Update 10
  -  Adobe ColdFusion 11 Update 18


IV. 参考情報
    アドビシステムズ株式会社
    Security updates available for ColdFusion | APSB19-14
    https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

    アドビシステムズ株式会社
    Security Updates Available for ColdFusion (APSB19-14)
    https://blogs.adobe.com/psirt/?p=1715


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

________
改訂履歴
2019-03-04 初版
2019-03-08 「I. 概要」の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901  FAX: 03-6271-8908
https://www.jpcert.or.jp/


-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJcgd8IAAoJEDF9l6Rp7OBImTEH/ipTfVdeBOaZmCkb46xX91ke
b0c8rrjU7MqdnEpGbuxFHLcSA7Grsy7iLg3KrQt6qrzpuSuFRT4mqdGnJiyOx7tS
l8XRk1vByseOXRRqBnl6fKPRrtk9BJF8u/ARUtruswy8QNJbFw1Rf08FN++z1/7a
UnMxDighNSpuBV4y7ZZjMCUbt/Bl7emOg79wCnBMVGhpzNcWiyrRtJzLW7f+fdNo
vZ8aBqGZkGAs17vFLWaGTFAIcvDixiTs/mxTx0VallmnajRQktftbxFyCb9bMxMi
lx1Ck7OkN2I1ibGXoWAtrhT8LCpFEfzRgjVxg6yGkMiJlChpa6ezVwzpdWR+SVc=
=gYyc
-----END PGP SIGNATURE-----