Syckchet Posted May 10, 2013 Report Posted May 10, 2013 Adobe a avertizat utilizatorii platformei server application ColdFusion cu privire la o vulnerabilitate care ar putea permite utilizatorilor acces neautorizat la fisierele sensibile stocate pe serverele acestora.Vulnerabilitatea a fost identificata ca CVE-2013-3336 si afecteaza ColdFusion 10, 9.0.2, 9.0.1, 9.0 si versiunile anterioare pentru Windows, Macintosh si UNIX, a informat Adobe intr-ul consultativ publicat miercuri. Compania a indicat ca Marcin Siedlarz, din cadrul echipei Symantec Secuity Response, a raportat aceasta problema: "Exita rapoarte potrivit carora un exploit pentru aceasta vulnerabilitate este disponibil publicului", a declarat Adobe. Compania lucreaza la un patch si se asteapta ca acesta sa fie lansat public la data de 14 mai. Pana atunci, clientii sunt sfatuiti sa limiteze accesul public la anumite directoare sensibile, cum ar fi CFIDE/administrator, CFIDE/adminapi si CFIDE/gettingstarted. Informatii cu privire la modalitatea de restrictionare a accesului la aceste directoare sunt oferite in ghidul ColdFusion 9 Lockdown si ColdFusion 10 Lockdown. Clientii care si-au intarit instalatiile ColdFusion urmand recomandarile cuprinse in aceste documente tehnice, sunt deja protejati impotriva CVE-2013-3336, a declarat Adobe. Chiar daca nu este utilizat la fel de mult ca si alte produse Adobe, ColdFusion a fost vizat de catre hackeri in trecut. In luna aprilie, compania de gazduire a serverelor private Linode a raportat ca hacherii au obtinut acces la serverul sau web si baza de date a clientilor prin exploatarea unei vulnerabilitati ColdFusion necunoscuta anterior. In luna ianuarie, Adobe a lansat un consultativ de securitate prin care a avertizat clientii cu privire la patru vulnerabilitati ColdFusion necunoscute anterior, care au fost exploatate in mod activ de catre atacatori. Pasii de raspuns recomandati la acel moment implicau, de asemenea, blocarea accesului extern la directoarele /CFIDE/administrator si /CFIDE/adminapi. Source Quote