Adobe varoittaa asiakkaita epäonnistuneesta kriittisestä virheestä ColdFusionissa

Adobe on varoittanut ColdFusion-sovelluspalvelinfoorumin käyttäjille kriittisestä haavoittuvuudesta, joka voi antaa luvattomille käyttäjille pääsyn palvelimilleen tallennettuihin arkaluonteisiin tiedostoihin.

Haavoittuvuus tunnistetaan nimellä CVE- 2013-3336 ja vaikuttaa ColdFusion 10: n, 9.0.2: n, 9.0.1: n, 9.0: n ja aiemman version versioihin Windows, Mac ja Unix, Adoben mukaan neuvoa-antavassa julkaisussa.

Yritys hyvitti Marcin Siedlarzin Symantecin Security Response -tiimistä raportoivat ongelmasta. "Raportit ovat, että tämän haavoittuvuuden hyödyntäminen on julkisesti saatavilla", Adobe kertoi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Yhtiö pyrkii korjaamaan ja odottaa julkistamista julkisesti 14. toukokuuta. Siihen saakka asiakkaita kehotetaan rajoittamaan tiettyjä herkkiä hakemistoja, kuten CFIDE / administrator, CFIDE / adminapi ja CFIDE / gettingstarted.

Tietoja pääsystä näihin hakemistoihin annetaan ColdFusion 9 Lockdownin Opas ja ColdFusion 10: n lukitusopas. Asiakkaat, jotka ovat kovettaneet ColdFusion-asennustyöt näiden teknisten asiakirjojen ohjeiden mukaisesti, ovat jo suojattuja CVE-2013-3336: sta, Adobe sanoi.

Vaikka sitä ei ole käytetty niin laajasti kuin jotkut muut Adobe-tuotteet, ColdFusion on kohdistanut hakkerit menneisyys. Huhtikuussa virtuaalinen yksityinen palvelinympäristöyhtiö Linode kertoi hakkereille pääsynsä Web-palvelimeen ja asiakastietokantaan hyödyntämällä aiemmin tuntematonta ColdFusion-haavoittuvuutta.

Tammikuussa Adobe julkaisi turvallisuusneuvonantajat noin neljästä aiemmin tuntemattomasta ColdFusion-haavoittuvuudesta, jotka olivat hyökkääjiä aktiivisesti. Aiemmin suositellut lieventämisvaiheet liittyivät myös ulkoisen pääsyn estämiseen / CFIDE / administrator ja / CFIDE / adminapi hakemistoihin.