elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9  (Leído 1,448 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9
« en: 21 Enero 2013, 13:25 pm »

Adobe ha publicado un boletín de seguridad que corrige cuatro vulnerabilidades que se están explotando en su servidor de aplicaciones ColdFusion bajo cualquier plataforma (Windows, Mac y Unix). De estas, dos de ellas permiten a un atacante remoto ganar privilegios de administrador en el servidor.

ColdFusion es una solución de Adobe para la creación de aplicaciones en Internet e Intranets que agrupa un servidor de aplicaciones, un lenguaje de marcado y scripting (ColdFusion Markup Language o CFML) que lo acompaña y en el que normalmente se escriben las aplicaciones (aunque acepta otros lenguajes), y un entorno de desarrollo propio.
 
El boletín ha sido calificado por Adobe con importancia crítica y de prioridad 1. Esta calificación se da a las vulnerabilidades que están siendo, o tienen alto riego de ser, explotadas de manera activa. La empresa, en el boletín, reconoce que ya existen reportes de la explotación de estas vulnerabilidades. Afectan a las versiones 10 y 9.0.x de la aplicación.
 
En concreto, dos de ellas (CVE-2013-0625 y CVE-2013-0632) pueden ser utilizadas por un atacante remoto para obtener privilegios de administrador en el sistema a través de un salto en el proceso de autenticación. Ambas se dan cuando se ha deshabilitado el sistema de autenticación, o está habilitado pero no se ha seleccionado ninguna contraseña. Mientras que la primera afecta solo a las versiones 9.0.x del servidor, la segunda también se encuentra en la versión 10.
 
Sobre los otros dos fallos corregidos, uno (CVE-2013-0629) permitiría, a través de un ataque de directorio transversal, visitar directorios restringidos, mientras que el otro (CVE-2013-0631), sobre el que no se han dado más datos, podría causar la revelación de información sensible.
 
Adobe ya publicó el pasado 4 de enero un aviso de seguridad, en principio con las vulnerabilidades CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, a la que más tarde se le uniría la CVE-2013-0632. El parche se ha lanzado 12 días después.
 
Más información:
 
Security update: Hotfix available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb13-03.html
 
Security Advisory for ColdFusion http://www.adobe.com/support/security/advisories/apsa13-01.html

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/adobe-corrige-varias-vulnerabilidades-en-coldfusion-10-y-9


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines