jueves, 1 de mayo de 2003

Divulgación de ruta en Macromedia ColdFusion MX Server

Se ha anunciado la existencia de una vulnerabilidad de divulgación de
la ruta real de instalación en Macromedia Cold Fusion MX Server.

En la instalación por defecto de Macromedia ColdFusion MX Server se
inicia un servidor web (jrun) en el puerto 8500, principalmente con
propósitos de administración. Cuando se accede a este servidor desde
la URL http://host:8500/CFIDE/probe.cfm se mostrará un mensaje de
error, que revela la localización de la ruta física en la que se ha
instalado MX Server, de la forma:

Error occured in:
C:\CFusionMX\wwwroot\CFIDE\probe.cfm:line56

Para evitar este problema se debe desactivar la opción "Enable Robust
Exception Information" en la página "Debugging Settings" de la consola
de administración. Esta opción se encuentra activa en las
instalaciones por defecto para permitir el desarrollo de aplicaciones.
En los sistemas de producción esta opción deberá estar desactivada.

Aunque este problema pueda parecer en principio insignificante, ya que
por si solo no representa ningún peligro, puede permitir la
realización de algún ataque más elaborado, al facilitar información de
gran valor a un posible atacante.


Antonio Ropero
antonior@hispasec.com


Más información:

Path Disclosure in Macromedia ColdFusion MX Server
http://www.nii.co.in/vuln/pdmac.html