| |
VSantivirus No. 1025, Año 7, Lunes 28 de abril de 2003
Revelación del path Macromedia Cold Fusion Server MX
http://www.vsantivirus.com/vul-coldfusion-path.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Macromedia Cold Fusion Server MX, es una poderosa plataforma de transmisión de audio y video en vivo mediante Flash MX, utilizando la tecnología RTMP (Real Time Messaging Protocol).
Una vulnerabilidad permite a un atacante obtener el camino real de la instalación del producto.
En su instalación por defecto y para propósitos administrativos, Macromedia Cold Fusion Server MX inicia su sesión como servidor Web (jrun) en el puerto 8500.
Cuando el servido es accedido mediante el siguiente URL, se despliega un mensaje de error:
http://host:8500/CFIDE/probe.cfm
Este mensaje revela el path físico (el camino real), en donde se ha instalado el servidor:
Error occured in:
C:\CFusionMX\wwwroot\CFIDE\probe.cfm:line56
El hecho de revelar esta información, por si sola, no involucra una situación de peligro, pero si se utiliza junto a otros exploits y vulnerabilidades en otras aplicaciones o en el propio servidor, puede facilitar la acción de un atacante.
El vendedor recomienda deshabilitar en la consola del administrador, en la página "Debugging Settings", la siguiente opción tildada por defecto:
[ ] Enable Robust Exception Information
También puede impedirse el acceso al puerto 8500 con un cortafuegos.
Esta vulnerabilidad ha sido revelada por Network Intelligence India Pvt. Ltd.
[info@nii.co.in].
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
