Boletines de Vulnerabilidades

int(5119)

Boletines de Vulnerabilidades

Aumento de privilegios en Adobe BlazeDS, Flex y ColdFusion
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Aumento de privilegios
Dificultad	Experto
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	Adobe BlazeDS 3.2 Adobe LiveCycle 8 y 9 Adobe LiveCycle Data Services Adobe Flex Data Services Adobe ColdFusion 7, 8 y 9
Descripción
Se ha descubierto una vulnerabilidad en BlazeDS 3.2, LiveCycle 8 y 9, LiveCycle Data Services, Flex Data Services y ColdFusion. Un atacante remoto podría obtener información privilegiada mediante métodos relacionados con peticiones con referencias a entidades externas en documentos XML. Prueba de concepto disponible.
Solución
Actualización de software Adobe BlazeDS http://download.macromedia.com/pub/security/bulletins/blz32_hf_12617.zip LiveCycle 9.0 http://download.macromedia.com/pub/security/bulletins/livecycle9_0.zip LiveCycle 8.2.1 http://download.macromedia.com/pub/security/bulletins/livecycle8_2_1.zip LiveCycle 8.0.1 http://download.macromedia.com/pub/security/bulletins/livecycle8_0_1.zip LiveCycle Data Services 2.5.1 http://download.macromedia.com/pub/security/bulletins/lcds251_hf_262793.zip LiveCycle Data Services 2.6.1 http://download.macromedia.com/pub/security/bulletins/lcds261_hf_262977.zip LiveCycle Data Services 3.0 http://download.macromedia.com/pub/security/bulletins/lcds3_hf_262986.zip Flex Data Services 2.0.1 http://download.macromedia.com/pub/security/bulletins/fds201_hf_262793b.zip ColdFusion http://kb2.adobe.com/cps/822/cpsid_82241.html
Identificadores estándar
Propiedad	Valor
CVE	CVE-2009-3960
BID	38197
Recursos adicionales
Adobe Security Bulletin (APSB10-05) http://www.adobe.com/support/security/bulletins/apsb10-05.html