Reto Aeberli - Adobe Security Patches

ColdFusion 8 Hotfix für FckEditor Connector

Wed, 08 Jul 2009 23:15:00+0200

Seit etwas mehr als einer Woche ist ein Sichereitsloch in ColdFusion 8.0.1 bekannt. Der fehlerhafte Code steckt in einem Connector vom FckEditor und erlaubt den Upload von Dateien. Der Code im Connector sollte eigentlich nur den Upload von "ungefährlichen" Dateien wie Bildern erlauben, aber es scheint als könnte auch Code hochgeladen werden welcher dann ausgeführt werden kann.
Addobe hat nun heute einen Hotfix für ColdFusion 8.0.1 veröffentlicht.

Adobe Security Patches (APSB08-12) - CFC Zugriff von Flex

Sat, 12 Apr 2008 23:38:00+0200

Adobe hat einen Patch für ColdFusion 8 bereitgestellt um ein Flex Zugriffsproblem auf CFC zu beheben. Flex Applikationen hatten die Möglichkeit auf Funktionen in CFC zuzugreifen auch wenn deren access Eigenschaft nur auf public war aber die generelle Einstellung auf remote. Per default ist im remote-config.xml (ColdFusion8\wwwroot\WEB-INF\flex) der access auf remote konfiguriert. Somit sollten mittels Flex auch nur Funkionen mit access=remote aufgerufen werden können. Durch den den Bug war dies nicht der Fall und auch Funktionen mit access=public konnten verwendet werden. Der Bugfix sollte bei ColdFusion 8 und 8.0.1 eingespielt werden. Flex CFC Access Fix

Adobe Security Patches (APSB08-01 und APSB08-02)

Thu, 17 Jan 2008 19:52:00+0200

Adobe hat heute folgende zwei Security Patches veröffentlicht: APSB08-01, Cross-Site Scripting Problem in Dreamweaver und Contribute

APSB08-02, Cross-Site Scripting Problem in Adobe Connect Enterprise Server