Adobe patcht ColdFusion auĂźer der Reihe
Sicherheitsupdates schlieĂźen zwei LĂĽcken in der Middleware. Adobe empfiehlt, diese zĂĽgig zu installieren.
Die Middleware ColdFusion ist in verschiedenen Versionen fĂĽr alle Plattformen verwundbar, warnt Adobe. Davon sind die Ausgaben 10 bis einschlieĂźlich Update 22, 11 bis einschlieĂźlich Update 11 und 2016 release bis einschlieĂźlich Update 3 betroffen. Adobe stellt fĂĽr alle drei Ausgaben abgesicherte Versionen zum Download bereit.
Insgesamt schließen die Updates zwei Sicherheitslücken. Die Schwachstelle mit der Kennung CVE-2017-3008 könnten Angreifer für eine XSS-Attacke (Reflected) ausnutzen. Die zweite Lücke (CVE-2017-3066) klafft in Apache BlazeDS und schließt eine Deserialization-Schwachstelle in Java. Wie Angreifer die Schwachstellen ausnutzen können, führt Adobe derzeit nicht aus.
Admins sollten die Sicherheitsupdates zügig installieren. Bisher gebe es Adobe zufolge zwar noch keinen Exploit, künftige Übergriffe könnten aber möglich sein. An dieser Einschätzung muss etwas dran sein, schließlich veröffentlicht Adobe Sicherheitsupdates in der Regel nur am monatlichen Patchday. Kritisch scheint es aber nicht zu sein: Das CERT Bund stuft das Risiko mit "mittel" ein. (des)
