|
|
Parche crítico para ColdFusion MX de Macromedia
|
| |
VSantivirus No. 1543 Año 8, lunes 27 de setiembre de 2004
Parche crítico para ColdFusion MX de Macromedia
http://www.vsantivirus.com/vul-macromedia-270904.htm
Por Angela Ruiz
angela@videosoft.net.uy
Dos vulnerabilidades consideradas críticas por Macromedia, han sido reportadas en ColdFusion MX Server. Ambas pueden ser explotadas por usuarios maliciosos para revelar información sensible y causar denegación de servicio (DoS).
Una vulnerabilidad en el servidor JRun, permite que un atacante eluda las restricciones de acceso, y obtenga el código fuente de archivos con extensiones diferentes a las usadas por Macromedia. Esto incluye archivos .PHP, .ASP y .PL. El fallo puede ser explotado con el agregado de los caracteres ";.cfm" al final de la dirección URL. La vulnerabilidad solo afecta al conector Microsoft IIS.
La segunda vulnerabilidad también es provocada por un desbordamiento de búfer, y se produce cuando los conectores web en el servidor JRun se encuentran configurados en modo de depuración "verbose" (mostrar toda la información). El fallo afecta a todas las versiones y plataformas. Sin embargo, el modo "verbose" no es el que está activo por defecto, por lo que la vulnerabilidad se restringe a quienes hayan cambiado dicho modo en forma premeditada. Los servidores con la configuración por defecto (sin modo "verbose"), no son afectados.
Son vulnerables los siguientes productos:
- ColdFusion MX 6.0
- ColdFusion MX 6.1
- ColdFusion MX 6.1 J2EE - JRun
Macromedia ha publicado una actualización que corrige estas dos vulnerabilidades. Dicha actualización es acumulativa, e incluye todos los parches anteriores para ColdFusion MX Server.
Descarga y más información:
MPSB04-09 - Cumulative Security Patch available for ColdFusion MX
http://www.macromedia.com/devnet/security/security_zone/mpsb04-09.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
