ColdFusion-Lücke kritischer als ursprünglich angenommen
Anders als Adobe stufen Sicherheitsexperten die vergangene Woche gemeldete Directory-Traversing-Lücke als kritisch ein, da sich unter Umständen Passwörter auslesen lassen. Ein Exploit dafür kursiert bereits.
- Daniel Bachfeld
Mehrere Sicherheitsexperten weisen darauf hin, dass die vergangene Woche bekannt gewordene Lücke in ColdFusion kritischer ist, als vom Hersteller Adobe gemeldet. Adobe hatte das Problem nur als "important" eingestuft, vermutlich weil sie in der Standardkonfiguration nicht zum Tragen kommt. Offenbar gibt es aber viele Nichtstandardserver, auf denen sich die Lücke ausnutzen lässt.
Die Lücke ermöglicht über Directory Traversing das Auslesen beliebiger Dateien auf dem Server, darunter auch etwa die Passwort-Datei "password.properties". Ein in Python geschriebener Exploit zum Auslesen der Datei auf einem verwundbaren Server ist bereits auf Exploit-DB.com erschienen. Betroffen ist ColdFusion 8.0, 8.0.1, 9.0, 9.0.1 und frühere Versionen für Windows, Mac und Unix.
Je nach Konfiguration ist in der Passwort-Datei das CF-Admin-Kennwort im Klartext oder gehasht abgelegt. Ein Angreifer kann durch Ermitteln des Passworts Zugriff auf das Administrationsinterface des ColdFusion-Server erhalten und möglicherweise sogar den kompletten Server kompromittieren. Anwender sollten der Installation des Sicherheits-Updates höchste Priorität einräumen. Eine FAQ im Sicherheitsblog GnuCitizen gibt weitere Hinweise zu Workarounds. (dab)
