Se ha descubierto un problema de seguridad en el Updater 1 de Macromedia
ColdFusion MX 6.1 para JRun4 que puede ser explotada por usuarios
maliciosos para acceder a información potencialmente sensible.
ColdFusion es un entorno de desarrollo de aplicaciones web que agrupa un
lenguaje propio, herramientas visuales de desarrollo y un servidor de
aplicaciones que funciona con muchos servidores web en plataformas como
Windows, Linux y Solaris.
El problema es que el componente Updater 1 de ColdFusion MX para JRun4
crea un directorio /WEB-INF/cfclasses en la raíz del servidor web en vez
de hacerlo en el directorio adecuado (en la raíz de la aplicación). En dicho
directorio pone archivos java compilados (.class, descargables por usuarios
finales) provenientes de otros .cfms y .cfcs.
La compañía recomienda los siguientes pasos para corregir el problema
(configuración J2EE de ColdFusion MX 6.1 para JRun4):
1. Parar los servidores ColdFusion MX 6.1.
2. Instalar el ColdFusion MX 6.1 Updater. Si dicho componente ya había
sido instalado, borrar el directorio /WEB-INF/ localizado en la raíz del
servidor web.
3. Crear el directorio
{jrun_root}/servers/cfusion/cfusion-ear/cfusion-war/WEB-INF/cfclasses
4. Arrancar de nuevo los servidores ColdFusion MX 6.1. Observar que
cuando se llamen a los .cfms, los archivos .class se queden en dicho
directorio.
jcanto@hispasec.com
Más información:
MPSB05-02 – Workaround available for ColdFusion MX 6.1 Updater file
disclosure
http://www.macromedia.com/devnet/security/security_zone/mpsb05-02.html
Deja un comentario