Sicherheitsupdate für Adobes ColdFusion
Durch eine Schwachstelle kann ein Angreifer die Sessions anderer Nutzer übernehmen. Anschließend wäre er in der Lage, mit den Rechten des Opfers auf einen Server zuzugreifen.
Adobe hat in einem Fehlerbericht auf eine Schwachstelle in ColdFusion MX 7 und ColdFusion 8 hingewiesen. Damit laufende Anwendungen ermöglichen einem Angreifer, die Sitzungen anderer Nutzer zu übernehmen. Anschließend wäre er in der Lage, mit den Rechten des Opfers auf die Inhalte eines Servers zuzugreifen.
Der Fehler tritt auf, wenn die Anwendung in den Session-Management-Cookies CFID oder CFTOKEN leere Zeichenketten ablegt. Alle Anwender benutzen dann dieselben Session-Daten. Anwendungen, die das J2EE-Session-Management benutzen, sind nicht betroffen. Adobe empfiehlt allen Administratoren, so bald wie möglich das Update einzuspielen.
Siehe dazu auch:
- Update available for ColdFusion MX 7 and ColdFusion 8 potential session hijacking issue, Fehlerbericht von Adobe
(dab)
