1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

セキュリティアップデート：ColdFusion用ホットフィックス公開

リリース日：2011年2月8日

脆弱性識別番号：APSB11-04

CVE番号：CVE-2011-0580、CVE-2011-0581、CVE-2011-0582、CVE-2011-0583、CVE-2011-0584

プラットフォーム：全プラットフォーム

概要

Windows版、Macintosh版、UNIX版のColdFusion 9.0.1およびそれ以前のバージョンに重要な脆弱性が存在することが確認されています。この脆弱性は、クロスサイトスクリプティング、セッションの固定化（Session Fixation）、CRLFインジェクション、および情報漏えいを招くおそれがあります。アドビ システムズ社では、以下に提供する指示に従って製品をアップデートされることを推奨します。

影響を受けるソフトウェアとバージョン

Windows版、Macintosh版、UNIX版のColdFusion 8.0、8.0.1、9.0、9.0.1

解決方法

影響を受けるバージョンのColdFusionをご利用のお客様には、Technote：http://kb2.adobe.com/jp/cps/890/cpsid_89094.htmlの手順に従ってアップデートを適用することを推奨します。

緊急度

アドビはこのアップデートを重要な案件と分類し、対象ユーザーの皆様に当該製品への最新アップデートの適用を推奨します。

詳細

Windows版、Macintosh版、UNIX版のColdFusion 9.0.1およびそれ以前のバージョンに重要な脆弱性が存在することが確認されています。この脆弱性は、クロスサイトスクリプティング、セッションの固定化（Session Fixation）、CRLFインジェクション、および情報漏えいを招くおそれがあります。アドビでは、この脆弱性に対処するための解決策を提供しています。ユーザーの皆様には、上記の「解決方法」の手順に従ってアップデートを適用されることを推奨します。

このアップデートはColdFusion管理コンソール内の様々なクロスサイトスクリプティング脆弱性を解消します（CVE-2011-0580）。

このアップデートはヘッダーの追加を許可する様々なタグによるCRLFインジェクションを解消します（CVE-2011-0581）。

このアップデートはColdFusion管理コンソール内の情報漏えい脆弱性を解消します（CVE-2011-0582）。

このアップデートはcfformタグによるクロスサイトスクリプティング脆弱性を解消します（CVE-2011-0583）。

このアップデートはColdFusionセッションの固定化脆弱性を解消します（CVE-2011-0584）。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

• ProCheckUp Ltd*のRichard Brain氏（CVE-2011-0580）
• McAfee*のHongZhen Zhou氏（CVE-2011-0580）
• Tenable Network Security*（CVE-2011-0580）
• Bogdan Calin氏（CVE-2011-0580）
• Michael Dominice*氏（CVE-2011-0580）
• Foundeo*のPete Freitag氏（CVE-2011-0581）
• FadedCodeのTom Sellers氏（CVE-2011-0582）
• Chad Armond氏（CVE-2011-0583）
• 12robots*のJason Dean氏（CVE-2011-0584）

免責条項

使用許諾条件

Adobe Systems Incorporated（アドビ システムズ社）またはその子会社（「アドビ」）のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザー使用許諾契約の条項は、下記の条項よりも優先されます。

アドビ システムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。さらに、アドビのソフトウェア製品はTOD（Table Of Denial Order）、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。

アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。本ソフトウェアが他のアドビ製品（以下「ホストアプリケーション」）との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザー使用許諾契約の規定によるものとします。

保証の免責：お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。

有限責任：契約、不法行為（過失を含む）、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。