Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9 .

  • Adobe corrige varias vulnerabilidades en ColdFusion 10 y 9 .

adobe-logo-244x244

Adobe ha publicado un boletín de seguridad que corrige cuatro vulnerabilidades que se están explotando en su servidor de aplicaciones ColdFusion bajo cualquier plataforma (Windows, Mac y Unix). De estas, dos de ellas permiten a un atacante remoto ganar privilegios de administrador en el servidor.
ColdFusion es una solución de Adobe para la creación de aplicaciones en Internet e Intranets que agrupa un servidor de aplicaciones, un lenguaje de marcado y scripting (ColdFusion Markup Language o CFML) que lo acompaña y en el que normalmente se escriben las aplicaciones (aunque acepta otros lenguajes), y un entorno de desarrollo propio.
El boletín ha sido calificado por Adobe con importancia crítica y de prioridad 1. Esta calificación se da a las vulnerabilidades que están siendo, o tienen alto riego de ser, explotadas de manera activa. La empresa, en el boletín, reconoce que ya existen reportes de la explotación de estas vulnerabilidades. Afectan a las versiones 10 y 9.0.x de la aplicación.
En concreto, dos de ellas (CVE-2013-0625 y CVE-2013-0632) pueden ser utilizadas por un atacante remoto para obtener privilegios de administrador en el sistema a través de un salto en el proceso de autenticación. Ambas se dan cuando se ha deshabilitado el sistema de autenticación, o está habilitado pero no se ha seleccionado ninguna contraseña. Mientras que la primera afecta solo a las versiones 9.0.x del servidor, la segunda también se encuentra en la versión 10.
Sobre los otros dos fallos corregidos, uno (CVE-2013-0629) permitiría, a través de un ataque de directorio transversal, visitar directorios restringidos, mientras que el otro (CVE-2013-0631), sobre el que no se han dado más datos, podría causar la revelación de información sensible.

Adobe ya publicó el pasado 4 de enero un aviso de seguridad, en principio con las vulnerabilidades CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, a la que más tarde se le uniría la CVE-2013-0632. El parche se ha lanzado 12 días después.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s