Adobe repareert 0-day gaten in ColdFusion

Adobe komt ruim een week na de ontdekking van drie 0-day gaten in zijn applicatieserver ColdFusion met een noodpatch voor vier gaten. Dat moet beheerderstoegang voor kwaadwillenden voorkomen.


Ontwikkelaars die werken met ColdFusion 9 of 10 bij het bouwen van webapplicaties worden door Adobe sterk aangeraden om de disndag uitgebrachte noodpatch te installeren. De hotfix combineert het dichten van vier kritieke 0-day gaten. Misbruik daarvan kan leiden tot volledige servertoegang (beheerdersniveau) voor bijvoorbeeld malwaremakers.

Hoogste prioriteit

De softwareupdate heeft de hoogste prioriteit meegekregen, wat betekent dat gebruikers worden geadviseerd binnen 72 te installeren. Tot die tijd blijven zij kwetsbaar voor ongeautoriseerde toegang van buitenaf, wat volgens Adobe tot informatielekkage kan leiden.

De patch is noodzakelijk op verschillende platforms. Zowel gebruikers op Windows, Mac OS X als Unix (wat voor Adobe neerkomt op Solaris en Linux) kunnen hun software updaten. Met Adobe ColdFusion kunnen ontwikkelaars (JavaEE-)applicaties bouwen en onderhouden. Met versie 10 kunnen onder meer HTML5-gebaseerd webapplicaties worden gemaakt.

Extra gat gevonden

Adobe dacht in eerste instantie dat het ging om drie 0-days. Uit de Security Advisory van vorige week leek dat twee van deze gaten alleen bruikbaar waren bij gebruikers zonder wachtwoordbeveiliging.

Er werden direct enkele tijdelijke oplossingen gegeven, zoals het uitschakelen van de externe toegang tot directories (/CFIDE/administrator, /CFIDE/adminapi, /CFIDE/componentutils) voor gehoste sites. Twee jaar geleden waren er soortgelijke securityproblemen met ColdFusion.