Avisos 17 de January, 2013

Vulnerabilitats 0day a Adobe ColdFusion

Adobe ha publicat un avís de seguretat per informar de diverses vulnerabilitats al seu producte Adobe ColdFusion. La prioritat assignada a l'avís és la més alta, pel fet que es tracta de vulnerabilitats de nivell crític que estan sent explotades activament.

 

Actualització 17/1/2013: Adobe ha publicat un butlletí de seguretat (APSB13-03) fora del seu cicle d'actualitzacions, per solucionar la vulnerabilitat.

Impacte

 
Salt de restriccions de seguretat, execució de codi, revelació d'informació.
 
Productes afectats
 
Adobe ColdFusion 10
Adobe ColdFusion 9.0.2, 9.0.1 i 9.0
 
Solució
 
Actualització 17/1/2013: el fabricant ha publicat un butlletí de seguretat amb les corresponents pegats per solucionar la vulnerabilitat. Es recomana seguir les instruccions del fabricant per instal•lar l'actualització (veure Referències).
 
Adobe recomana als clients de ColdFusion prendre les següents mesures per a mitigar aquestes vulnerabilitats:
 
Configurar un nom d'usuari i contrasenya per al Servei de Desenvolupament Remot (RDS). Aquestes credencials han de ser diferents que les del compte d'Administrador. Després de configurar el nom d'usuari i la contrasenya, els usuaris haurien de desactivar RDS.
Desactivar l'accés extern als següents directoris per a tots els llocs allotjats: 
/CFIDE/administrator
/CFIDE/adminapi
/CFIDE/componentutils
Treure tots els components de ColdFusion desconeguts o innecessaris o plantilles dels directoris CFIDE o Webroot.
Implementar restriccions d'accés de control a la interfície d'administració i aplicacions internes a través de la consola d'administrador (en la versió de ColdFusion 10) o dins dels mecanismes de control d'accés del seu servidor web per a les versions 9.0.2 i anteriors
Comproveu que el producte ColdFusion té l'última revisió aplicada.
 
Detall
 
APSA13-01: tres vulnerabilitats que afecten a ColdFusion per a Windows, Macintosh i UNIX. 
CVE-2013-0625 podria permetre a un usuari no autoritzat eludir controls d'autenticació remota, la qual cosa permetria a l'atacant prendre el control del servidor afectat.
CVE-2013-0629 podria permetre un accés no autoritzat a directoris restringits.
CVE-2013-0631 podria tenir com a resultat la divulgació d'informació des d'un servidor compromès.
(Nova 17/1/2013)  CVE-2013-0632: vulnerabilitat de evasió d'autenticació que podria permetre a usuaris no autoritzats accedir amb privilegis d'administració.
 
S'ha informat que aquestes vulnerabilitats estan sent explotades activament contra usuaris de ColdFusion.
 
Referències
 
Nou 17/1/2013: Butlletí de seguretat d'Adobe APSB13-03
http://www.adobe.com/support/security/bulletins/apsb13-03.html
Nou 17/1/2013: Instruccions d'actualització al lloc web d'Adobe.
http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-03.html.
Avís de seguretat d'Adobe APSA13-01
http://www.adobe.com/support/security/advisories/apsa13-01.html
Publicat a: Avisos