Frissítse az Adobe Coldfusiont!

Az Adobe minden Coldfusion felhasználót arra ösztökél, hogy minél hamarabb frissítsék az alkalmazást egy biztonsági hiba miatt.
 

Ahogy arról a Biztonságportál Prémium weboldalain már beszámoltunk, az Adobe egy veszélyes sebezhetőséget javított a Coldfusion esetében. A biztonság rés kockázatai között szerepel a jogosulatlan távoli kódfuttatás, ami egyben azt is jelenti, hogy tetszőleges kódokkal történő visszaélésekre adódhat mód.
 
A sérülékenységet a fájlfeltöltések kezeléséért felelős egyik összetevő tartalmazza. Ennél fogva a hiba állományok feltöltésekor vezethet problémákhoz. Ha a támadó hozzáfér egy ilyen feltöltési lehetőséghez, akkor a kiszolgálóra egyszerűen feljuttathatja az állományát, amit a biztonsági hiba miatt egy speciálisan összeállított HTTP-kéréssel le is futtathat. Ilyenkor az adott kód a Coldfusion szolgáltatás jogosultsági szintjének megfelelően fog végrehajtódni.
 
A sebezhetőséget Charlie Arehart biztonsági kutató fedezte fel, és jelezte azt az Adobe fejlesztői számára. A cég hamar bizonyítottnak látta a biztonsági rés létezését, és néhány napon belül el is készítette a hibajavításokat, amik a Coldfusion legújabb kiadásaiban már megtalálhatók. Ezért a szoftver frissítésével a sérülékenység megszüntethető.
 
A kockázatokat csökkenti, hogy Arehart egyelőre nem hozta nyilvánosságra a biztonsági hiba kihasználásához szükséges módszereket és kódokat, de ettől még nem érdemes halogatni a frissítést.
 
A javított verziók:
  • ColdFusion 2018 Update 3
  • ColdFusion 2016 Update 10
  • ColdFusion 11 Update 18
Vélemények
 
  1. 4

    A Zoom client for Windows egy nulladik napi sérülékenységet tartalmaz.

  2. 4

    A Google elérhetővé tette az Android júliusi hibajavításait.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség