Parche de seguridad acumulativo para Macromedia ColdFusion MX
|
Vulnerability classification
|
Property |
Value |
Confidence level |
Oficial |
Impact |
Obtener acceso |
Dificulty |
Experto |
Required attacker level |
Acceso remoto sin cuenta a un servicio exotico |
System information
|
Property |
Value |
Affected manufacturer |
Comercial Software |
Affected software |
ColdFusion MX 6.0
ColdFusion MX 6.1
ColdFusion MX 6.1 J2EE - JRun |
Description
|
Se ha publicado un parche acumulativo de seguridad para las versiones 6.0, 6.1 y 6.1 JSEE - JRun de Macromedia ColdFusion MX. Las vulnerabilidades que resuelve este parche son descritas a continuación:
- Una vulnerabilidad en JRun server que podría permitir a un atacante saltarse las restricciones de acceso y obtener el código fuente de archivos no asociados a las extensiones de Macromedia (por ejemplo .php). Esta vulnerabilidad solo afecta al conector con el servidor Microsoft IIS. (CAN-2004-0928)
- Una vulnerabilidad de desbordamiento de búfer que se da en JRun Server cuando los conectores con el servidor Web están en modo Verbose. (CAN-2004-0646) |
Solution
|
Actualización de software
Macromedia
ColdFusion MX 6.0
Actualizar a ColdFusion MX 6.1 y aplicar el parche correspondiente
http://www.macromedia.com/cfusion/resourcecenter/rc_driver.cfm?pagename=cfmx%20updater
ColdFusion MX 6.1
ColdFusion MX 6.1 Updater
http://www.macromedia.com/support/coldfusion/downloads_updates.html#updater
ColdFusion MX 6.1 J2EE - Jrun
JRun 4.0 Updater 4
http://www.macromedia.com/go/jrun_updater |
Standar resources
|
Property |
Value |
CVE |
CAN-2004-0646
CAN-2004-0928 |
BID |
NULL |
Other resources
|
Macromedia Security Bulletin MPSB04-09
http://www.macromedia.com/devnet/security/security_zone/mpsb04-09.html
iDEFENSE Security Advisory
http://www.idefense.com/application/poi/display?id=145&type=vulnerabilities
iDEFENSE Security Advisory
http://www.idefense.com/application/poi/display?id=148&type=vulnerabilities |
Version history
|
Version |
Comments |
Date |
1.0
|
Aviso emitido
|
2004-09-27
|
1.1
|
Aviso emitido por iDEFENSE (id 145)
|
2004-10-01
|
1.2
|
Aviso emitido por iDEFENSE (id 148)
|
2004-10-06
|