Lücke in ColdFusion 8 gefährdet Sicherheit von Websites

Adobe hat eine Sicherheitslücke in dem zum Lieferumfang von ColdFusion 8 gehörenden freien FCKEditor bestätigt. FCKEditor ist ein Open-Source-HTML-Editor, der zwar zum Lieferumfang von ColdFusion gehört, standardmäßig aber nicht aktiviert sein soll. In bestimmten Fällen soll der dazugehörige Connector aber trotzdem aktiv sein.

Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von ColdFusion, bei denen Unbekannte offenbar die Lücke ausnutzten, um Inhalte zu manipulieren. Möglicherweise steht auch die Warnung von Googles SafeBrowsing-Funktion am Wochenende vor den Webseiten des Ad-Provider EyeWonder in diesem Zusammenhang.

Unbekannte hatten dessen Webserver gehackt, sodass dieser Malware enthielt. Damit landete die Domain in der Google-Liste verdächtiger Seiten. In der Folge warnten Browser, die die Google-API benutzten, auch vor Banner-Ad-Servern in dieser Domain – obwohl diese laut EyeWonder nicht betroffen gewesen sein sollen. Besucher von Webseiten wie CNN, Washington Post, BBC und Mashable bekamen im Browser ein Stoppschild aufgrund der Nachladeversuche von Werbung zu Gesicht. Mittlerweile sollen die Probleme aber behoben und die Serverlücke geschlossen sein.

Adobe hat einen Patch für ColdFusion für nächste Woche angekündigt, der die Möglichkeit des unautorisierten Hochladens eigener Dateien – beispielsweise von Remote-Shells – unterbinden soll. Bis dahin empfiehlt der Hersteller einige Maßnahmen, um das System mit einem Workaround zu sichern und festzustellen, ob er bereits gehackt wurde. Weitere Details dazu sind im Bericht von Adobe und zusätzlich in der Meldung des Open-Source-CERT zu finden.

Im Laufe des heutigen Tages wollen die Entwickler des Editors die Version 2.6.4.1 veröffentlichen, in der der Fehler und einige Cross-Site-Scripting-Lücken beseitigt sind.

Siehe dazu auch:

• Potential ColdFusion security issue, Warnung von Adobe
• FCKeditor input sanitization errors, Bericht des oCERT

(dab)