Data di pubblicazione: 10 ottobre 2006
Identificatore di vulnerabilità: APSB06-17
Codice CVE: CVE-2006-3978
Piattaforme: tutte
ColdFusion MX 7, ColdFusion MX 7.0.1 e ColdFusion MX 7.0.2
A causa di una potenziale vulnerabilità in una libreria di terze parti, un utente locale malintenzionato potrebbe eseguire codice arbitrario con il livello di privilegio dell'account Sistema locale. Per approfittare della vulnerabilità, l'utente malintenzionato deve innanzitutto essere in grado di eseguire il codice localmente nel server.
Adobe consiglia agli utenti di ColdFusion di applicare l'aggiornamento seguente in base alle istruzioni di installazione riportate di seguito. In alternativa, nella sezione Disattivazione della libreria Verity vengono fornite istruzioni per la disattivazione della libreria.
Istruzioni per la disinstallazione della patch:
Istruzioni per la disinstallazione della patch:
Per ColdFusion MX 7 J2EE è necessario installare separatamente il motore di ricerca Verity. Gli utenti di ColdFusion MX 7 J2EE non devono installare. Se è già installato, è sufficiente disinstallarlo.
Windows:
Aprire il servizio msc applet e arrestare "ColdFusion MX 7 Search Server". Impostare il servizio su manuale o disattivato.
Per rimuovere la configurazione, è inoltre possibile eseguire il file cfmx_root\verity\verity-uninstall.bat.
Linux:
Eseguire cfmx_root/bin/cfmx7search stop.
Rimuovere cfmx7search da etc/rc.d/init.d, se è configurata l'esecuzione automatica di Verity all'avvio del server.
Per rimuovere la configurazione di Verity, è possibile eseguire il file cfmx_root/verity/verity_uninstall.sh.
Solaris:
Eseguire cfmx_root/bin/cfmx7search stop.
Rimuovere tutti gli script di avvio di cfmx7search, se è configurata l'esecuzione automatica di Verity all'avvio del server.
Per rimuovere la configurazione di Verity, è possibile eseguire il file cfmx_root/verity/verity_uninstall.sh.
Adobe classifica questo aggiornamento come importante* e consiglia agli utenti interessati di applicare le patch relative alle installazioni in uso.
In un server di terze parti installato con ColdFusion sono stati rilevati vari errori di convalida dell'input. Per impostazione predefinita, il servizio viene eseguito con il livello di privilegio dell'account Sistema locale. Impartendo comandi speciali creati manualmente all'interno del software client della libreria di terze parti, un utente locale potrebbe eseguire comandi con il livello di privilegio dell'account Sistema locale. Questo problema non può essere sfruttato da remoto.
Adobe desidera ringraziare Information Risk Management Plc. per aver segnalato questa vulnerabilità, contribuendo così a proteggere la sicurezza dei nostri clienti.
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere un cittadino dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE:ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMTAZIONE DI RESPONSABILITÀ:ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
