Zusammen mit anderen Security Patches hat Adobe gestern am monatlichen Patchday auch einen Sicherheits Update für ColdFusion veröffentlicht. Einige Fehler stecken im ColdFusion Adminstrator, welcher Benutzereingaben nicht korrekt verarbeitet und so Cross-Site Scripting erlaubt. Die anderen Fehler sind schon ein wenig schwerwiegender und erlauben im besten Fall die Übernahme einer Session.
Sicherheits Bulletin
Technote mit Hotfix
Seit etwas mehr als einer Woche ist ein Sichereitsloch in ColdFusion 8.0.1 bekannt. Der fehlerhafte Code steckt in einem Connector vom FckEditor und erlaubt den Upload von Dateien. Der Code im Connector sollte eigentlich nur den Upload von "ungefährlichen" Dateien wie Bildern erlauben, aber es scheint als könnte auch Code hochgeladen werden welcher dann ausgeführt werden kann.
Addobe hat nun heute einen Hotfix für ColdFusion 8.0.1 veröffentlicht.
Adobe hat einen Patch für ColdFusion 8 bereitgestellt um ein Flex Zugriffsproblem auf CFC zu beheben. Flex Applikationen hatten die Möglichkeit auf Funktionen in CFC zuzugreifen auch wenn deren access Eigenschaft nur auf public war aber die generelle Einstellung auf remote. Per default ist im remote-config.xml (ColdFusion8\wwwroot\WEB-INF\flex) der access auf remote konfiguriert. Somit sollten mittels Flex auch nur Funkionen mit access=remote aufgerufen werden können. Durch den den Bug war dies nicht der Fall und auch Funktionen mit access=public konnten verwendet werden. Der Bugfix sollte bei ColdFusion 8 und 8.0.1 eingespielt werden. Flex CFC Access Fix
Adobe hat heute folgende zwei Security Patches veröffentlicht:
APSB08-01, Cross-Site Scripting Problem in Dreamweaver und Contribute
APSB08-02, Cross-Site Scripting Problem in Adobe Connect Enterprise Server