릴리스 날짜: 2009년 8월 17일
최종 업데이트일: 2009년 8월 28일
취약점 식별자: APSB09-12
CVE 번호: CVE-2009-1872, CVE-2009-1873, CVE-2009-1874, CVE-2009-1875, CVE-2009-1876, CVE-2009-1877, CVE-2009-1878
플랫폼: 모든 플랫폼
ColdFusion v8.0.1 및 이전 버전과 JRun 4.0에서 위험 수준의 취약점이 발견되었습니다. 이러한 취약점으로 인해 사용자 계정 또는 해당 시스템에 잠재적인 손상이 발생할 수 있습니다.
ColdFusion 8.0.1 및 이전 버전
JRun 4.0
Adobe에서는 해당 ColdFusion 및 JRun 고객이 자세한 내용 섹션에 있는 링크를 통해 해당 소프트웨어를 업데이트할 것을 권장합니다.
Adobe는 이 문제를 위험 수준 문제로 분류하고 해당 사용자가 소프트웨어의 패치를 적용할 것을 권장합니다.*
ColdFusion v8.0.1 및 이전 버전과 JRun 4.0에서 위험 수준의 취약점이 발견되었습니다. 이러한 취약점으로 인해 사용자 계정 또는 해당 시스템에 잠재적인 손상이 발생할 수 있습니다.
ColdFusion에 대한 업데이트는 잠재적으로 코드를 실행할 수 있는 크로스 사이트 스크립팅의 취약점을 해결합니다(CVE-2009-1872).
ColdFusion에 대한 업데이트는 잠재적으로 코드를 실행할 수 있는 크로스 사이트 스크립팅의 취약점을 해결합니다(CVE-2009-1877).
ColdFusion 사용자는 아래 해당 링크를 통해 CVE-2009-1872 및 CVE-2009-1877을 수정할 수 있습니다.
• CVE-2009-1872 및 CVE-2009-1877에 대한 설치 지침*
• ColdFusion 7.0.2에 대한 CVE-2009-1872 및 CVE-2009-1877 핫픽스
• ColdFusion 8에 대한 CVE-2009-1872 및 CVE-2009-1877 핫픽스
• ColdFusion 8.0.1에 대한 CVE-2009-1872 및 CVE-2009-1877 핫픽스
JRun에 대한 업데이트는 잠재적으로 정보를 노출할 수 있는 관리 콘솔 디렉토리 통과와 관련된 취약점을 해결합니다(CVE-2009-1873).
JRun에 대한 업데이트는 잠재적으로 코드를 실행할 수 있는 여러 관리 콘솔 크로스 사이트 스크립팅의 취약점을 해결합니다(CVE-2009-1874).
JRun 4 업데이터 6 및 업데이터 7 사용자는 아래 해당 링크를 통해 CVE-2009-1873 및 CVE-2009-1874를 수정할 수 있습니다.
• CVE-2009-1873 및 CVE-2009-1874에 대한 설치 지침*
• JRun 4.0에 대한 CVE-2009-1873 및 CVE-2009-1874 핫픽스
Adobe에서는 JRun 업데이터 5 및 이전 버전의 모든 사용자가 최신 버전의 JRun 업데이터 7로 업그레이드하여 위의 픽스를 적용할 것을 권장합니다.
ColdFusion에 대한 업데이트는 잠재적으로 코드를 실행할 수 있는 여러 크로스 사이트 스크립팅의 취약점을 해결합니다(CVE-2009-1875).
ColdFusion 사용자는 아래 해당 링크를 통해 CVE-2009-1875를 수정할 수 있습니다.
• CVE-2009-1875에 대한 설치 지침*
• ColdFusion 7.0.2에 대한 CVE-2009-1875 핫픽스 및 ColdFusion 7.0.2에 대한 hf702-1875.jar 핫픽스
• ColdFusion 8에 대한 CVE-2009-1875 핫픽스 및 ColdFusion 8에 대한 hf800-1875.jar 핫픽스
• ColdFusion 8.0.1에 대한 CVE-2009-1875 핫픽스 및 ColdFusion 8.0.1에 대한 hf801-1875.jar 핫픽스
ColdFusion에 대한 업데이트는 잠재적으로 정보를 노출할 수 있는 이중 인코딩된 null 문자의 취약점을 해결합니다(CVE-2009-1876). 이 업데이트는 Apache로 구성된 ColdFusion 소프트웨어에만 적용해야 합니다.
ColdFusion 8.0.1, 8.0 및 7.0.2 사용자는 아래 해당 링크를 통해 CVE-2009-1876을 수정할 수 있습니다.
• CVE-2009-1876에 대한 설치 지침*
• ColdFusion에 대한 CVE-2009-1876 핫픽스
ColdFusion에 대한 업데이트는 잠재적으로 권한 에스컬레이션을 야기할 수 있는 세션 고정의 취약점을 해결합니다(CVE-2009-1878).
ColdFusion 사용자는 아래 해당 링크를 통해 CVE-2009-1878을 수정할 수 있습니다.
• CVE-2009-1878에 대한 설치 지침*
• ColdFusion 7.0.2에 대한 CVE-2009-1878 hf702-1878.jar 핫픽스
• ColdFusion 8에 대한 CVE-2009-1878 hf800-1878.jar 핫픽스
• ColdFusion 8.0.1에 대한 CVE-2009-1878 hf801-1878.jar 핫픽스
Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
2009년 8월 28일 - 게시판이 CVE-2009-1873, CVE-2009-1874 및 CVE-2009-1876과 관련된 추가 정보로 업데이트되었습니다.
2009년 8월 21일 - 게시판이 CVE-2009-1876과 관련된 추가 정보로 업데이트되었습니다.
2009년 8월 17일 - 게시판 최초 작성일
Adobe Systems Incorporated 또는 그 자회사(이하 "Adobe")의 소프트웨어를 사용하는 것은 다음 내용 및 조건에 동의한다는 의미입니다. 그러한 내용 및 조건에 동의하지 않는 경우 소프트웨어를 사용하지 마십시오. 소프트웨어의 설치 또는 다운로드 시 특정 소프트웨어 파일이 수반되는 최종 사용자 사용권 계약의 사용 약관은 아래 사용 약관을 대체합니다.
Adobe 소프트웨어 제품의 수출 및 재수출은 미국 수출 관리 규정에 따르며 그러한 소프트웨어는 쿠바, 이란, 이라크, 리비아, 북한, 수단 또는 시리아 및 기타 미국의 수출 금지 규정이 적용되는 국가로 수출 또는 재수출할 수 없습니다. 또한 Adobe 소프트웨어를 주문승인 거부대상 명단, 규정 명단 또는 요주의 국가 명단에 포함된 사람에게 배포할 수 없습니다.
Adobe 소프트웨어 제품을 다운로드하여 사용하는 것은 귀하가 쿠바, 이란, 이라크, 리비아, 북한, 수단 또는 시리아 및 기타 미국의 수출 금지 규정이 적용되는 국가의 국적을 갖고 있거나 주문승인 거부대상 명단, 규정 명단 또는 요주의 국가 명단에 포함된 사람이 아님을 증명하는 것을 의미합니다. 소프트웨어가 Adobe에서 게시한 애플리케이션 소프트웨어 제품(이하 "호스트 애플리케이션")과 함께 사용하도록 만들어진 경우 Adobe는 귀하가 호스트 애플리케이션에 대한 Adobe의 유효한 라이센스를 소유한 경우, 호스트 애플리케이션과 함께 사용하기 위한 목적에 한해서만 그러한 소프트웨어에 대해 비독점적인 라이센스를 부여합니다. 아래 설명된 내용 이외에 그러한 소프트웨어는 귀하의 호스트 애플리케이션 사용을 규정하는 Adobe의 최종 사용자 사용권 계약의 내용 및 조건의 적용을 받습니다.
보증의 부인: 귀하는 소프트웨어 및 소프트웨어가 어떠한 종류의 보증도 없이 "있는 그대로" 제공된다는 사실과 관련하여 귀하에게 어떠한 명시적 보증도 하지 않음에 동의합니다. Adobe는 특정 목적에의 적합성, 상업성, 상품 품질 또는 타사 권리의 비침해성에 대한 모든 묵시적 보증을 포함하여(이에 제한되지 않음) 소프트웨어에 관련된 모든 명시적 또는 묵시적 보증을 부인합니다. 일부 주 또는 관할지에서는 묵시적 보증의 배제를 허용하지 않으므로 위의 제한은 귀하에게 적용되지 않을 수 있습니다.
책임의 제한: Adobe는 어떠한 경우에도 사용 손실, 영업 중단 또는 모든 종류의 직접적, 간접적, 특수적, 우연적 또는 필연적 손해(이익 손실 포함), 불법 행위(과실 포함), 엄격한 제품 책임 또는 그 밖의 행위에 대해 계약서에 명시되었는지 여부에 관계없이 책임을 지지 않으며, 이는 Adobe가 그러한 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 주 또는 관할지에서는 부수적 또는 필연적 손해의 배제 또는 제한을 허용하지 않으므로 위의 제한 또는 배제는 귀하에게 적용되지 않을 수 있습니다.
