17.08.2010 11:25
Mehrere Sicherheitsexperten weisen darauf hin, dass die vergangene Woche bekannt gewordene Lücke in ColdFusion kritischer ist, als vom Hersteller Adobe gemeldet. Adobe hatte das Problem nur als "important" eingestuft, vermutlich weil sie in der Standardkonfiguration nicht zum Tragen kommt. Offenbar gibt es aber viele Nichtstandardserver, auf denen sich die Lücke ausnutzen lässt.
Die Lücke ermöglicht über Directory Traversing das Auslesen beliebiger Dateien auf dem Server, darunter auch etwa die Passwort-Datei "password.properties". Ein in Python geschriebener Exploit zum Auslesen der Datei auf einem verwundbaren Server ist bereits auf Exploit-DB.com erschienen. Betroffen ist ColdFusion 8.0, 8.0.1, 9.0, 9.0.1 und frühere Versionen für Windows, Mac und Unix.
Je nach Konfiguration ist in der Passwort-Datei das CF-Admin-Kennwort im Klartext oder gehasht abgelegt. Ein Angreifer kann durch Ermitteln des Passworts Zugriff auf das Administrationsinterface des ColdFusion-Server erhalten und möglicherweise sogar den kompletten Server kompromittieren. Anwender sollten der Installation des Sicherheits-Updates höchste Priorität einräumen. Eine FAQ im Sicherheitsblog GnuCitizen gibt weitere Hinweise zu Workarounds.
(dab)
English Version: ColdFusion vulnerability more critical than first thought
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1060214
Themen-Forum Schwachstellen
Mehr zum Thema Directory Traversing Sicherheitslücke Adobe Passwörter
Google erklärt, wie Teilnehmern des Hackerwettbewerbs Pwnium der Ausbruch aus der Chrome-Sandbox gelang. 
Der Betreiber eines Zeus-Botnetzes steht Rede und Antwort zu Fragen nach seiner Person, seinem Umfeld und der Computer-Sicherheit. 
Alexander Gostev von Kaspersky Lab beschreibt die Vorgehensweise des Trojaners, der kürzlich mehr als eine halbe Million Mac-Rechner befallen hat. 
Wie jetzt bekannt wurde, schließen die kürzlich veröffentlichten Updates für die beiden Office-Pakete unter anderem eine kritische Lücke, durch die man sein System mit Schadcode infizieren kann. 
Apple hat in der Nacht zum Mittwoch eine Aktualisierung für sein Multimedia-Wiedergabesystem online gestellt, das einige Sicherheitslücken schließt. 
Die kostenpflichtigen Avira-Scanner legen derzeit reihenweise Rechner lahm. Wer das jüngste Update noch nicht installiert hat, sollte es auch nicht tun. 
