Boletines de Vulnerabilidades |
Macromedia ColdFusion MX 6.1: usuarios no privilegiados pueden instanciar objetos |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
ColdFusion MX 6.1 Enterprise ColdFusion MX 6.1 J2EE (WebLogic, WebSphere, SunOne, JRun) |
Descripción |
|
Se ha descubierto una vulnerabilidad en Macromedia ColdFusion MX 6.1 Enterprise y MX 6.1 J2EE. Las versiones ColdFusion MX (ColdFusion 6.0) y ColdFusion MX 6.1 Standard Edition no están afectadas por este fallo. En un entorno compartido, cualquier usuario puede instanciar objetos sin necesidad de llamar a los procedimientos CreateObject() o |
|
Solución |
|
Descargue y descomprima el parche de Macromedia, y sin estar ejecutando ColdFusion, deposite el fichero hf53419_61.jar en las ubicaciones indicadas a continuación, creando los directorios si fuera necesario. Sustituya [cf_root] por el directorio raíz de instalación de ColdFusion. Actualización de software Macromedia ColdFusion MX 6.1 Parche de seguridad del componente Sandbox http://download.macromedia.com/pub/security/mpsb04-01.zip Macromedia ColdFusion MX 6.1 Enterprise [cf_root]/runtime/servers/lib Macromedia ColdFusion MX 6.1 for J2EE (WebLogic) /Bea/WebLogic700/server/bin/applications/cfusion.ear/cfusion.war/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (Websphere) /WebSphere/AppServer/installedApps/cfusion.ear/cfusion.war/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (SunOne) /iPlanet/Servers/docs/CFusionMX/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (JRun) /jrun4/servers/default/cfusion/WEB-INF/cfusion/lib |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Macromedia Security Advisory MPSB04-01: Security Patch available for ColdFusion MX sandbox security http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-02-03 |