Adobe patcht ColdFusion außer der Reihe
Sicherheitsupdates schließen zwei Lücken in der Middleware. Adobe empfiehlt, diese zügig zu installieren.
Die Middleware ColdFusion ist in verschiedenen Versionen für alle Plattformen verwundbar, warnt Adobe. Davon sind die Ausgaben 10 bis einschließlich Update 22, 11 bis einschließlich Update 11 und 2016 release bis einschließlich Update 3 betroffen. Adobe stellt für alle drei Ausgaben abgesicherte Versionen zum Download bereit.
Insgesamt schließen die Updates zwei Sicherheitslücken. Die Schwachstelle mit der Kennung CVE-2017-3008 könnten Angreifer für eine XSS-Attacke (Reflected) ausnutzen. Die zweite Lücke (CVE-2017-3066) klafft in Apache BlazeDS und schließt eine Deserialization-Schwachstelle in Java. Wie Angreifer die Schwachstellen ausnutzen können, führt Adobe derzeit nicht aus.
Admins sollten die Sicherheitsupdates zügig installieren. Bisher gebe es Adobe zufolge zwar noch keinen Exploit, künftige Übergriffe könnten aber möglich sein. An dieser Einschätzung muss etwas dran sein, schließlich veröffentlicht Adobe Sicherheitsupdates in der Regel nur am monatlichen Patchday. Kritisch scheint es aber nicht zu sein: Das CERT Bund stuft das Risiko mit "mittel" ein. (des)
