Macromedias ColdFusion MX Server zeigt Quelltexte an

Macromedia weist in einem Advisory auf Probleme im ColdFusion MX Server und JRun hin. Das Anfügen eines kodierten Spaces (%20) an die URL einer Webseite genügt, um den kompletten Seitencode anzuzeigen. Seiten, die auf .cfm, .cfc, .cfml (ColdFusion MX) oder .jsp (JRun) enden, werden normalerweise auf dem Server ausgeführt und das Ergebnis dann an einen Browser übertragen. Durch die Möglichkeit, den Quellcode einzusehen, kann ein Angreifer die Arbeitsweise des Servers analysieren. Unter Umständen sind dort auch Informationen 'hardcoded' wie zum Beispiel Passwörter. Betroffen sind Macromedia ColdFusion MX und Macromedia Jrun 4.x unter Apache 1.3.x und 2.x auf Windowsplattformen. Macromedia hat bereits einen Patch zur Verfügung gestellt.

Securitytracker berichtet darüber hinaus über Fehler in der Standardkonfiguration von ColdFusion MX. Der Remote Development Service (RDS) ermöglicht eine Authentifizierung ohne Passwort. Ist es gesetzt, wird es im Klartext übertragen. Eine weitere Fehlkonfiguration der Rechte des RDS Java Servlet, also der Serverkomponente, ermöglicht angemeldeten Benutzern Zugriff auf alle Dateien des Servers. Problematisch ist dies insbesondere auf Servern, die unterschiedliche Kunden hosten. Eine Behebung des Problems ist derzeit nicht in Sicht. Das Original-Advisory empfiehlt als Workaround die Verwendung dedizierter Server. (dab)