Boletines de Vulnerabilidades |
Adobe ColdFusion Security Buletin - APSA13-01 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | Adobe ColdFusion 10, 9.0.2, 9.0.1 y 9.0 |
Descripción |
|
Adobe ha informado de tres vulnerabilidades detectadas que afectan al producto ColdFusion para Windows, Macintosh y UNIX.j Una de las vulnerabilidades (CVE-2013-0625) permite a usuarios no autorizados a tomar el control remotamente del servidor afectado. La vulnerabilidad a la que hace referencia CVE-2013-0629 permite a usuarios no autorizados acceder a directorio restringidos. Mientras que la última vulnerabilidad reportada puede provocar una fuga de información del servidor comprometido. Las dos primeras vulnerabilidades, sólo afectan a los clientes de ColdFusion que no usen protección con contraseña. |
|
Solución |
|
Adobe está trabajando para publicar los parches correspondientes el 15 de enero de 2013. Se recomienda aplicarlos en cuanto se publiquen. Mientras tanto, se recomienda tomar algunas medidas de mitigación, como: - Configurar un usuario y contraseña para RDS (Remote Development Services). Estas credenciales deberían ser diferentes de las del administrador. Después de configurarlo, los usuarios deberían deshabilitar RDS. - Deshabilitar el acceso externo a los siguientes directorios: * /CFIDE/administrator * /CFIDE/adminapi * /CFIDE/componentutils - Eliminar cualquier componente desconocido o innecesario de ColdFusion, o plantillas de los directorios CFIDE o webroot. - Implementar restricciones de acceso para la interfaz de administrador y aplicaciones internas a través de la consola de administrador. - Asegurarse de que ColdFusion tiene el último parche de actualización aplicado. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2013-0625, CVE-2013-0629, CVE-2013-0631 |
BID | |
Recursos adicionales |
|
Boletín de Seguridad Adobe: http://www.adobe.com/support/security/advisories/apsa13-01.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2013-01-07 |