Recientemente nos hicimos eco de una vulnerabilidad descubierta en
ColdFusion, el popular software de servidor de aplicaciones web.
En la última semana, Allaire, ha publicado tres nuevos avisos de
seguridad concernientes a este producto. Aunque su incidencia puede
resultar menor que la vulnerabilidad descubierta recientemente,
pueden llegar a causar determinados problemas.
El primero de los problemas hace alusión a la posibilidad de
visualizar el código fuente de las páginas en los servidores
web de Netscape para Windows NT. Aunque no se trata de un problema
particular de ColdFusión, ya que Netscape Enterprise Server 3.x
deja al descubierto la posibilidad de leer el código de cualquier
fichero de script como cfml o perl. El problema, similar al
recordado ::$DATA de Internet Information Server puede ser
reproducido en servidores Netscape añadiendo %20 al final de
la línea URL (por ejemplo: http://www.sitio-afectado.com/index.cfm%20).
Netscape ofrece un parche para solucionar esta vulnerabilidad.
Un problema totalmente distinto puede llegar a posibilitar un ataque
de denegación de servicio al usar una herramienta de administración
vía web de ColdFusion. El ColdFusion Administrator incluye una
utilidad para iniciar y parar el servicio ColdFusion desde un
navegador. Cuando se encuentra habilitado el nivel de seguridad
básico (Basic Security) esta utilidad se encuentra protegida por
la password del administrador. Sin embargo, cuando se activa la
seguridad avanzada (Advanced Security), al contrario de toda lógica,
la utilidad de iniciar/parar no está protegida con contraseña,
permitiendo que cualquier usuario no autorizado detenga el
servidor de ColdFusion. Se puede acceder a este administrador
a través de la URL http://sitio-afectado/CFIDE/Administrator/startstop.html
basta eliminar esta página para evitar cualquier problema. En caso
de que sea preciso hacer uso de esta utilidad, se puede proteger el
archivo con la propia seguridad del servidor web.
Por último, Allaire añadió la posibilidad de cifrar páginas para
hacer más difícil la posibilidad de visualizar el código en aquellas
aplicaciones o componentes que se distribuyen a terceros como fuente.
Para ello, ColdFusion dispone de la posibilidad de cifrar los
documentos cfml de una aplicación o componente a través de
cfcrypt.exe. De esta forma, es posible distribuirlos o venderlos
sin necesidad de exponer el código fuente. Pero Allaire avisa de
la existencia de utilidades ilegales capaces de descifrar las
páginas encriptadas. Esto no quiere decir que los usuarios finales
puedan acceder al código fuente original, ya que el cfml es
procesado en el servidor ofreciendo código html estándar al
navegador del usuario. El descifrado del código afecta a
desarrolladores que distribuyen sus aplicaciones a otros
usuarios como fuente y desean proteger su creación.
Más información:
Allaire: Problema en servidores Netscape
Allaire: Denegación de servicio a través de CF. Admin
Allaire: Páginas cifradas
Netscape
Deja una respuesta