viernes, 16 de abril de 2004

Denegación de servicio en Macromedia ColdFusion MX 6.1

Se ha descubierto una vulnerabilidad en Macromedia ColdFusion MX 6.1 que
puede permitir a usuarios maliciosos provocar una denegación de servicio
si un usuario realiza repetidas veces un proceso de subida de archivos
interrumpiendo dicha subida antes de terminar.

ColdFusion es un popular software de servidor de aplicaciones web,
ampliamente utilizado en entornos empresariales para ofrecer soluciones
Internet e Intranet.

La vulnerabilidad, se provoca comenzando la subida de un archivo a dicho
programa mediante un formulario HTML e interrumpiéndola antes de terminar.
El espacio de disco utilizado para esto en el servidor no puede ser
liberado cuando la plantilla de ColdFusion MS termina de procesar.

Macromedia ha descrito el problema como importante y recomienda a los
usuarios aplicar el parche a las versiones afectadas (ColdFusion MX 6.1
y 6.1 J2EE) a la mayor brevedad posible.

La dirección para la descarga del parche de actualización que corrige
este problema es la siguiente:
http://download.macromedia.com/pub/security/mpsb04-06.zip


Julio Canto
jcanto@hispasec.com


Más información:

Security Patch available for ColdFusion MX 6.1 File Upload Denial of service
http://www.macromedia.com/devnet/security/security_zone/mpsb04-06.html