domingo, 30 de agosto de 2015

Actualización de seguridad para Adobe ColdFusion

Adobe ha publicado una actualización destinada a solucionar una vulnerabilidad importante en ColdFusión, que podría permitir la obtención de información sensible.

En el boletín de seguridad APSB15-21 de Adobe, se recoge una actualización para ColdFusion versiones 11 y 10. Este parche está destinado a corregir un problema en el tratamiento de entidades externas XML en BlazeDS que podría permitir la obtención de información sensible (CVE-2015-3269).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 11:
ColdFusion 10:

Customers should also apply the security configuration settings as outlined on the ColdFusion Security page as well as review the ColdFusion 11 Lockdown Guide and ColdFusion 10 Lockdown Guide.

Los usuarios también deben aplicar la configuración de seguridad indicada en la página de seguridad de ColdFusion, así como revisar los documentos ColdFusion 11 Lockdown Guide y ColdFusion 10 Lockdown Guide.

Más información:

Security Update: Hotfix available for ColdFusion

CVE-2015-3269: Apache Flex BlazeDS XXE Vulnerabilty



Antonio Ropero

Twitter: @aropero

sábado, 29 de agosto de 2015

Dos vulnerabilidades en dispositivos Trend Micro Deep Discovery

Trend Micro ha confirmado dos vulnerabilidades en dispositivos Deep Discovery Inspector que podrían permitir a un atacante provocar la realización de ataques de cross-site scripting y de salto de autenticación.
 
Según Trend Micro la plataforma Deep Discovery Inspector "permite detectar, analizar y responder a los actuales ataques sigilosos y dirigidos en tiempo real".

El primero de los problemas, con CVE-2015-2872, reside en un cross-site scripting en el parámetro contentURL de index.html que podría permitir a un atacante sin autenticar ejecutar código malicioso.

Por otra parte, usuarios autenticados sin permisos de administración podrán acceder a múltiples URLs mediante peticiones directas, lo que podría permitir acceder y modificar determinadas configuraciones del sistema (CVE-2015-2873).

Trend Micro ha publicado actualizaciones para solucionar estos problemas disponibles desde:

Más información:

Discovery Inspector (DDI) Authentication Bypass (CVE-2015-2873) and Cross-Site Scripting (XSS) Vulnerability (CVE-2015-2872)


Antonio Ropero

Twitter: @aropero