ColdFusion-Hotfix: Angreifer können beliebige Dateien auslesen
Durch einen Fehler im XML-Parser des quelloffenen BlazeDS-Protokolls können Angreifer beliebige Dateien auslesen und so an sensible Daten kommen. Apache Flex ist ebenfalls betroffen.
- Fabian A. Scherschel
Adobe hat ein Sicherheitsupdate für seine Web-App-Plattform ColdFusion herausgegeben. Damit reagiert die Firma auf eine Lücke im offenen Messaging-Protokoll BlazeDS (CVE-2015-3269), über die Angreifer beliebige Dateien auf dem ColdFusion-Server auslesen können.
Adobe stuft die Lücke als "wichtig" ein, der separate Hotfix deutet darauf hin, dass ein zeitnahes Einspielen des Updates empfehlenswert ist. Adobes Sicherheitsmeldung enthält keine Informationen darüber, ob die Lücke momentan für Angriffe ausgenutzt wird.
Die BlazeDS-Lücke lag wohl auch der Sicherheitslücke zu Grunde, die Adobe vergangene Woche in seinen LiveCycle Data Services geschlossen hat. Ebenfalls von der Schwachstelle betroffen ist die BlazeDS-Umsetzung von Apache Flex. (fab)
