Actualización acumulativa para ColdFusion MX

Macromedia ha publicado una actualización acumulativa para ColdFusion
MX Server que incluye las funcionalidades de todos los parches
anteriormente publicados y además corrige dos nuevas vulnerabilidades
consideradas críticas.

El primero de los nuevos problemas corregidos reside en el servidor
JRun que puede ser engañado para evitar restricciones de acceso y
mostrar el código fuente de archivos que no estén asociados a
estensiones Macromedia (.php, .asp, .pl) simplemente con añadir
«;.cfm» al final de la URL. Esto solo afecta al conector Microsoft IIS.

La segunda vulnerabilidad subsanada es un desbordamiento de búfer
cuando los conectores web de JRun están en modo de depuración
«verbose». Esto afecta a todos los conectores, plataformas y versiones.
Si la conexión en modo «verbose» está desactivada, que es la
configuración por defecto, el servidor web no es vulnerable.

Actualizaciones publicadas:

Para ColdFusion MX 6.0
Actualizar a ColdFusion MX 6.1 disponible en
http://www.macromedia.com/cfusion/resourcecenter/rc_driver.cfm?pagename=cfmx%20updater
y aplicar el parche para ColdFusion MX 6.1 Standard

Para ColdFusion MX 6.1 Standard/Enterprise
http://www.macromedia.com/support/coldfusion/downloads_updates.html#updater

Para ColdFusion MX 6.1 J2EE (JRun)
http://www.macromedia.com/go/jrun_updater

Más información:

MPSB04-09 – Cumulative Security Patch available for ColdFusion MX
http://www.macromedia.com/devnet/security/security_zone/mpsb04-09.html

Acerca de Hispasec

Hispasec Ha escrito 6967 publicaciones.

• View all posts by Hispasec →
• Blog