Adobe stopft ColdFusion-Lücken vor dem Patchday

Gut zwei Wochen vor dem regulären Patchday der Firma schließt Adobe zwei Lücken im Web-Application-Server ColdFusion. Das deutet darauf hin, dass Admins die Patches schnell einspielen sollten.

In Pocket speichern vorlesen Druckansicht
Hotfusion Coldfixes
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Adobe hat sogenannte Hotfixes für den Application-Server ColdFusion veröffentlicht – dabei handelt es sich um Updates außer der Reihe des regulären monatlichen Patchdays der Firma. Betroffen sind die Versionen 10 und 11 der Software. ColdFusion 2016 ist nicht betroffen. Zwar schätzt Adobe die Sicherheitslücke, die mit den Patches geschlossen wird, nur mit Priorität 2 ein (sie gilt also nicht als kritisch). Die Tatsache, dass der Patch außer der Reihe stattfindet, deutet aber darauf hin, dass Admins schleunigst patchen sollten. Der nächste reguläre Patchday bei Adobe ist in gut zwei Wochen.

Ob die Lücke momentan für Angriffe ausgenutzt wird, sagt Adobe in seinem Advisory nicht. Laut der Beschreibung des Angriffsszenarios kann eine manipulierte XML-Datei von Unbefugten dazu missbraucht werden, dem Server Informationen zu entlocken, an die sie eigentlich nicht gelangen sollten. Was genau ausgelesen werden kann, ist unbekannt. Nutzer von ColdFusion 10 sollten Update 21 installieren, ColdFusion-11-Server sollten auf Update 10 aktualisiert werden. (fab)