Az Adobe figyelmezteti az ügyfeleket a hibás hibák elkerülésére

Az Adobe figyelmeztette a ColdFusion alkalmazások szerver platformjának olyan kritikus sérülékenységét, amely jogosulatlan felhasználók számára hozzáférhet a kiszolgálókon tárolt érzékeny fájlokhoz.

A biztonsági rés CVE- 2013-3336 és hatással van a ColdFusion 10, a 9.0.2, a 9.0.1, a 9.0 és a korábbi verziókra a Windows, a Mac és a Unix számára. "

A vállalat jóváírta Marcin Siedlarz-ot a Symantec Security Response csapatával jelentette a problémát. "Jelentések vannak arról, hogy a biztonsági rés kihasználása nyilvánosan elérhető" - mondta az Adobe.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A vállalat egy javításon dolgozik, és várhatóan nyilvánosan közzéteszi május 14-ig. Addig az ügyfeleknek javasoljuk, hogy korlátozzák a nyilvános hozzáférést bizonyos érzékeny könyvtárakhoz, például CFIDE / adminisztrátor, CFIDE / adminapi és CFIDE / gettingstarted.

A ColdFusion 9 Lockdown Útmutató és ColdFusion 10 zárolási útmutató. Azok az ügyfelek, akik megkönnyítették ColdFusion telepítéseiket az ezen műszaki dokumentációban megadott útmutatás alapján, már védettek a CVE-2013-3336 ellen. "

Habár nem olyan széles körben használják, mint néhány más Adobe terméket, a ColdFusion a hackerek a múlt. Áprilisban a virtuális magánhálózati kiszolgáló cég, Linode, bejelentette, hogy a hackerek hozzáférnek a webkiszolgálóhoz és az ügyfélazonosító adatbázisához egy korábban ismeretlen ColdFusion biztonsági rés kihasználásával.

Januárban az Adobe kiadott egy biztonsági tanácsadó figyelmeztető ügyfelet négy korábban ismeretlen ColdFusion biztonsági résről, amelyek a támadók aktívan kihasználják. A korábban javasolt enyhítési lépések többek között a CFIDE / adminisztrátor és / CFIDE / adminapi könyvtárakhoz való külső hozzáférés letiltása.