ColdFusion MX 7 gibt Daten preis
Mit manipulierten URLs ist es möglich, Einblick in beliebige anderen Dateien zu erhalten, auf die der Webserver Zugriff hat.
- Daniel Bachfeld
Ein Hotfix von Adobe soll verhindern, dass ColdFusion MX 7 auf dem Internet Information Server (IIS) weiterhin geschützte Daten preisgeben kann. Laut iDefense gibt es ein Problem beim Auswerten von URLs, die etwa kodierte NULL-Bytes und eine mit ColdFusion verknüpfte Dateiendung enthalten. Damit soll es möglich sein, Einblick in beliebige andere Dateien zu erhalten, auf die der Webserver Zugriff hat, um so weitere Informationen für Angriffe zu sammeln. Unter Umständen ließen sich sogar Passwörter für Log-ins et cetera ausspähen.
Der Fehler wurde in Version 7.0.2 entdeckt, laut Hersteller sind aber auch Version 7 und 7.0.1 verwundbar. Das Problem tritt aber nur im Zusammenhang mit Microsofts IIS zu Tage. Der Hotfix behebt die LĂĽcke, Einzelheiten dazu sind dem Fehlerbericht zu entnehmen. Anwender der Version 7 mĂĽssen laut Hersteller aber vor der Installation auf 7.0.1 upgraden. Adobe empfiehlt dringend, auf Produktivsystemen vorher ein Backup anzulegen.
Siehe dazu auch:
- Adobe Macromedia ColdFusion Source Code Disclosure Vulnerability, Fehlerbericht von iDefense
- Patch available for ColdFusion MX 7 information disclosure issue, Fehlerbericht von Adobe
(dab)
