Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9

Iniciado por wolfbcn, 21 Enero 2013, 13:25 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Adobe ha publicado un boletín de seguridad que corrige cuatro vulnerabilidades que se están explotando en su servidor de aplicaciones ColdFusion bajo cualquier plataforma (Windows, Mac y Unix). De estas, dos de ellas permiten a un atacante remoto ganar privilegios de administrador en el servidor.

ColdFusion es una solución de Adobe para la creación de aplicaciones en Internet e Intranets que agrupa un servidor de aplicaciones, un lenguaje de marcado y scripting (ColdFusion Markup Language o CFML) que lo acompaña y en el que normalmente se escriben las aplicaciones (aunque acepta otros lenguajes), y un entorno de desarrollo propio.

El boletín ha sido calificado por Adobe con importancia crítica y de prioridad 1. Esta calificación se da a las vulnerabilidades que están siendo, o tienen alto riego de ser, explotadas de manera activa. La empresa, en el boletín, reconoce que ya existen reportes de la explotación de estas vulnerabilidades. Afectan a las versiones 10 y 9.0.x de la aplicación.

En concreto, dos de ellas (CVE-2013-0625 y CVE-2013-0632) pueden ser utilizadas por un atacante remoto para obtener privilegios de administrador en el sistema a través de un salto en el proceso de autenticación. Ambas se dan cuando se ha deshabilitado el sistema de autenticación, o está habilitado pero no se ha seleccionado ninguna contraseña. Mientras que la primera afecta solo a las versiones 9.0.x del servidor, la segunda también se encuentra en la versión 10.

Sobre los otros dos fallos corregidos, uno (CVE-2013-0629) permitiría, a través de un ataque de directorio transversal, visitar directorios restringidos, mientras que el otro (CVE-2013-0631), sobre el que no se han dado más datos, podría causar la revelación de información sensible.

Adobe ya publicó el pasado 4 de enero un aviso de seguridad, en principio con las vulnerabilidades CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, a la que más tarde se le uniría la CVE-2013-0632. El parche se ha lanzado 12 días después.

Más información:

Security update: Hotfix available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb13-03.html

Security Advisory for ColdFusion http://www.adobe.com/support/security/advisories/apsa13-01.html

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/adobe-corrige-varias-vulnerabilidades-en-coldfusion-10-y-9
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.