トップ セキュリティ情報 2016年度 【注意喚起】Adobe ColdFusion の脆弱性について

【注意喚起】Adobe ColdFusion の脆弱性について

2016年9月5日 南大沢 日野 荒川

「Adobe ColdFusion」の脆弱性についての注意喚起です。
「Adobe ColdFusion」は、ホームページを利用する際に活用するソフトウェアのひとつです。
利用している方は手順に従い、最新版にアップデートして下さい。

■概要

※Adobe ColdFusionは、WWWサーバを構築するためのアプリケーションです。
※URLの一部にindex.cfmを含んでいる場合は、Adobe ColdFusionを使用している可能性があります。
※WWWサーバが、Adobe ColdFusionを使用しているか不明な場合は、構築業者又は保守運用業者にお問合せください。

■脅威
この脆弱性を悪用された場合、ColdFusionを利用して構築・稼働しているWWWサーバからアクセス可能なファイルが外部から
窃取されたり、外部から不正なファイルを蔵置されマルウェアの配布先として悪用される可能性があります。

■対処方法
早急に最新版にアップデートして下さい。

■対処方針
下記のURLを参考にして、それぞれのバージョンに応じた修正プログラムを適用してください。(英文)
ColdFusion 11:http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-10.html
ColdFusion 10:http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-21.html

□参考情報
Adobe ColdFusionに脆弱性、修正版が公開
http://www.itmedia.co.jp/enterprise/articles/1608/31/news053.html
「Adobe ColdFusion」に情報漏洩の深刻な脆弱性 - ホットフィクスがリリース
http://www.security-next.com/073305
(英文) Security Update: Hotfixes available for ColdFusion(APSB16-30)
https://helpx.adobe.com/security/products/coldfusion/apsb16-30.html
(英文) Patched ColdFusion Flaw Exposes Applications to Attack
https://threatpost.com/patched-coldfusion-flaw-exposes-applications-to-attack/120301/
(英文) Adobe ColdFusion <= 11 XML External Entity (XXE) Injection (CVE-2016-4264)
http://legalhackers.com/advisories/Adobe-ColdFusion-11-XXE-Exploit-CVE-2016-4264.txt

ページ上部へ戻る