Macromedia ColdFusion MX 6.1: usuarios no privilegiados pueden instanciar objetos
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Integridad |
Dificultad |
Experto |
Requerimientos del atacante |
Acceso remoto con cuenta |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
Comercial Software |
Software afectado |
ColdFusion MX 6.1 Enterprise
ColdFusion MX 6.1 J2EE (WebLogic, WebSphere, SunOne, JRun) |
Descripción
|
Se ha descubierto una vulnerabilidad en Macromedia ColdFusion MX 6.1 Enterprise y MX 6.1 J2EE. Las versiones ColdFusion MX (ColdFusion 6.0) y ColdFusion MX 6.1 Standard Edition no están afectadas por este fallo.
En un entorno compartido, cualquier usuario puede instanciar objetos sin necesidad de llamar a los procedimientos CreateObject() o ; y puede hacerlo a pesar de que estos procedimientos estén deshabilitados, puesto que el componente Sandbox de ColdFusion no controla esta situación. |
Solución
|
Descargue y descomprima el parche de Macromedia, y sin estar ejecutando ColdFusion, deposite el fichero hf53419_61.jar en las ubicaciones indicadas a continuación, creando los directorios si fuera necesario. Sustituya [cf_root] por el directorio raíz de instalación de ColdFusion.
Actualización de software
Macromedia ColdFusion MX 6.1
Parche de seguridad del componente Sandbox
http://download.macromedia.com/pub/security/mpsb04-01.zip
Macromedia ColdFusion MX 6.1 Enterprise
[cf_root]/runtime/servers/lib
Macromedia ColdFusion MX 6.1 for J2EE (WebLogic)
/Bea/WebLogic700/server/bin/applications/cfusion.ear/cfusion.war/WEB-INF/lib
Macromedia ColdFusion MX 6.1 for J2EE (Websphere)
/WebSphere/AppServer/installedApps/cfusion.ear/cfusion.war/WEB-INF/lib
Macromedia ColdFusion MX 6.1 for J2EE (SunOne)
/iPlanet/Servers/docs/CFusionMX/WEB-INF/lib
Macromedia ColdFusion MX 6.1 for J2EE (JRun)
/jrun4/servers/default/cfusion/WEB-INF/cfusion/lib |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
NULL |
BID |
NULL |
Recursos adicionales
|
Macromedia Security Advisory MPSB04-01: Security Patch available for ColdFusion MX sandbox security
http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.html |