Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2013
Adobe confirma una vulnerabilitat crítica que afecta ColdFusion
Adobe ha advertit d’una vulnerabilitat en la plataforma ColdFusion qual ha catalogat com a “crítica”. Segons pareix, la vulnerabilitat, que no està apedaçada, podria donar accés a usuaris no autoritzats a arxius amb informació sensible, emmagatzemats en els servidors.“La vulnerabilitat ha sigut identificada com a CVE-2013-3336 i afecta les ColdFusion 10, 9.0.2, 9.0.1, 9.0 i a les versions anteriors tant per a Windows com per a Macintosh i UNIX”, ha destacat Adobe.
D’esta manera, Adobe corrobora la informació publicada per Marcin Siedlarz, del Centre de Resposta de Seguretat de Symantec, el qual va ser el que va donar la veu d’alarma davant de la fallada. “Hi ha informes que asseguren que un exploit per a esta vulnerabilitat està disponible”, ha assegurat Adobe.
La companyia treballa en un pedaç de seguretat que espera llançar el pròxim 14 de maig, segons s’indica en el butlletí de seguretat publicat (APSA13-03). Abans que estiga disponible el pedaç de seguretat, Adobe aconsella els usuaris seguir les mesures que es detallen en l’apartat de solució.
Cal assenyalar que, a pesar que ColdFusion no és un dels productes més utilitzats d’Adobe, la plataforma ha sigut blanc dels pirates d’altres vegades.
Sistemes Afectats:ColdFusion 10, 9.0.2, 9.0.1, 9.0 i les versions anteriors tant per a Windows com per a Macintosh i UNIX.
Referències:CVE-2013-3336
Solució:Adobe aconsella els usuaris que restringisquen l’accés a directoris sensibles com ara CFIDE/administrator, CFIDE/adminapi i CFIDE/gettingstarted.
Així mateix, recorda que la informació per a restringir l’accés a eixos directoris està disponible en la guia ColdFusion 9 Lockdown i en la de ColdFusion 10 Lockdown.
“Tots aquells usuaris que han adoptat les mesures que es proporcionen en eixes guies ja estan protegits contra la vulnerabilitat”, ha assegurat Adobe.
Notes: