Avisos 09 de May, 2013

Vulnerabilitat Adobe ColdFusion

 

Adobe ha publicat un butlletí de seguretat per informar d'una vulnerabilitat detectada al seu producte Adobe ColdFusion. Existeix exploit públic per aquesta vulnerabilitat.
 
Adobe està en procés de finalitzar i publicar una actualització que soluciona aquesta vulnerabilitat, que pot permetre a un usuari remot no autoritzat obtenir arxius allotjats als servidors afectats.
 

 

Impacte
 
Fuita d'informació.
 
Productes afectats
 
Adobe ColdFusion 10, 9.0.2, 9.0.1 i 9.0 per a Windows, Macintosh i UNIX.
 
Solució
 
Es recomana seguir les instruccions del fabricant per aplicar les mesures de mitigació recomanades fins la publicació del pegat que solucioni la vulnerabilitat (veure Referències).
 
Els usuaris de ColdFusion que tenen accés públic restringit als directoris CFIDE/administrator, CFIDE/adminapi i CFIDE/gettingstarted no cal que apliquin cap mesura addicional de mitigació. Els usuaris que no el tinguin l'accés restringit, poden fer-ho seguint la guia de restricció d'accés per ColdFusion 9 o 10 (veure Referències).
 
Detall
 
APSA13-03: vulnerabilitat de fuita d'informació a Adobe ColdFusion sobre Windows, Maintosh i UNIX. El fabricant preveu la publicació del pegat el 14 de maig de 2013. 
      o CVE-2013-3336
 
Aquesta vulnerabilitat és diferent de les que van ser explotades recentment per grups de criminals cibernètics per comprometre diversos sistemes diversos sistemes d'importància.
 
Referències
 
Avís de seguretat d'Adobe APSA13-03
Guia de restricció d'accés per ColdFusion 9 i 10
 
Publicat a: Avisos