Adobe, müşterileri ColdFusion'da kritik önemsiz hatalar konusunda uyarıyor

Adobe, kullanıcılarına ColdFusion uygulama sunucusu platformunu, yetkisiz kullanıcıların sunucularında saklanan hassas dosyalara erişmelerini sağlayacak kritik bir güvenlik açığı konusunda uyardı.

Güvenlik açığı CVE- olarak tanımlandı. 2013-3336 ve Windows, Mac ve Unix için ColdFusion 10, 9.0.2, 9.0.1, 9.0 ve önceki sürümlerini etkilediğini belirten Adobe, Çarşamba günü yayınlanan bir danışma belgesinde şunları söyledi:

Şirket, Symantec Güvenlik Yanıt ekibinden Marcin Siedlarz'u sorunu bildiriyor. Adobe, “Bu güvenlik açığından yararlanmanın kamuya açık olduğunu belirten raporlar var,” dedi.

[Daha fazla bilgi: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Şirket, bir düzeltme üzerinde çalışıyor ve bunu herkese açıklamayı bekliyor 14 Mayıs tarihine kadar, müşterilere CFIDE / yönetici, CFIDE / adminapi ve CFIDE / gettingstarted gibi belirli hassas dizinlere kamu erişimini kısıtlamaları tavsiye edilir.

ColdFusion 9 Lockdown'da bu dizinlere erişimin nasıl kısıtlanacağı hakkında bilgi verilir. Kılavuz ve ColdFusion 10 Kilitleme Kılavuzu. ColdFusion kurulumlarını bu teknik dokümanlarda sağlanan kılavuzu takiben sertleştiren müşteriler halihazırda CVE-2013-3336'ya karşı korunmaktadır, dedi.

Diğer bazı Adobe ürünleri kadar yaygın olmasa da, ColdFusion bilgisayar korsanları tarafından hedeflendi. geçmiş. Nisan ayında, sanal özel sunucu barındırma şirketi Linode, bilgisayar korsanlarının daha önce bilinmeyen bir ColdFusion güvenlik açığından yararlanarak Web sunucusuna ve müşteri veritabanına erişim sağladığını bildirdi.

Ocak ayında Adobe, daha önce bilinmeyen dört ColdFusion güvenlik açığına karşı bir güvenlik uyarısı uyarısı verdi. saldırganlar tarafından aktif olarak kullanılıyor. Şu anda önerilen azaltma adımları, ayrıca / CFIDE / administrator ve / CFIDE / adminapi dizinlerine harici erişimi devre dışı bırakmayı da içermektedir.