개요

• Adobe社는 ColdFusion에 영향을 주는 3개 취약점을 해결한 보안 업데이트를 발표[1]

설명

• 크로스 사이트 요청 위조 취약점(CVE-2014-0570)
• 크로스 사이트 스크립팅 취약점((CVE-2014-0571)
• 인증되지 않은 사용자가 IP접근 제한을 우회할 수 있는 취약점(CVE-2014-0572)

해당 시스템

• 영향을 받는 소프트웨어
  • 모든 플랫폼 환경의 ColdFusion 11, 10, 9.0.2, 9.0.1 및 9.0 버전

해결 방안

• 다음과 같은 Adobe ColdFusion Help 문서를 참조하여 보안업데이트 적용
  • http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html

    제품 버전	세부 내용
    ColdFusion 11	ColdFusion 11 Update 2버전으로 업데이트
    ColdFusion 10	ColdFusion 10 Update 14버전으로 업데이트
    ColdFusion 9.0.2	ColdFusion 9.0.2 Update 7버전으로 업데이트
    ColdFusion 9.0.1	ColdFusion 9.0.1 Update 12버전으로 업데이트
    ColdFusion 9.0	ColdFusion 9.0 Update 13버전으로 업데이트

용어 정리

• ColdFusion : Adobe사에서 만든 애플리케이션(웹 서비스) 개발을 위한 RAD 플랫폼
• 크로스 사이트 요청 위조(CSRF) : 공격자가 의도한 웹 페이지를 요청하게 하는 공격
• 크로스 사이트 스크립팅(XSS) : 웹 페이지에 악성 스크립트를 삽입 및 실행할 수 있는 취약점

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://helpx.adobe.com/security/products/coldfusion/apsb14-23.html