Adobe warnt Kunden vor unerreichten kritischen Fehlern in ColdFusion

Adobe hat die Benutzer seiner ColdFusion-Anwendungsserverplattform vor einer kritischen Sicherheitsanfälligkeit gewarnt, die unberechtigten Benutzern Zugriff auf sensible Dateien auf ihren Servern ermöglichen könnte.

Die Sicherheitsanfälligkeit wird als CVE- 2013-3336 und betrifft ColdFusion 10, 9.0.2, 9.0.1, 9.0 und frühere Versionen für Windows, Mac und Unix, sagte Adobe in einem am Mittwoch veröffentlichten Advisory.

Das Unternehmen schrieb Marcin Siedlarz vom Security Response Team von Symantec zu das Problem melden. "Es gibt Berichte, dass ein Exploit für diese Sicherheitslücke öffentlich verfügbar ist", sagte Adobe.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das Unternehmen arbeitet an einem Fix und erwartet, es öffentlich zu veröffentlichen Am 14. Mai sollten Kunden den öffentlichen Zugriff auf bestimmte vertrauliche Verzeichnisse wie CFIDE / administrator, CFIDE / adminapi und CFIDE / gettingstarted beschränken.

Informationen zum Beschränken des Zugriffs auf diese Verzeichnisse finden Sie in ColdFusion 9 Lockdown Guide und ColdFusion 10 Lockdown Guide. Kunden, die ihre ColdFusion-Installationen gemäß den Anleitungen in diesen technischen Dokumenten gehärtet haben, sind bereits gegen CVE-2013-3336 geschützt, so Adobe.

Obwohl ColdFusion nicht so häufig eingesetzt wird wie andere Adobe-Produkte, wurde ColdFusion von Hackern angegriffen die Vergangenheit. Im April meldete das Unternehmen Linode, dass die Hacker Zugriff auf den Webserver und die Kundendatenbank hatten, indem sie eine zuvor unbekannte ColdFusion-Sicherheitslücke ausnutzten.

Im Januar gab Adobe einen Sicherheitshinweis heraus, in dem Kunden über vier bisher unbekannte ColdFusion-Schwachstellen gewarnt wurden aktiv von Angreifern ausgenutzt werden. Die zu diesem Zeitpunkt empfohlenen Maßnahmen zur Minderung beinhalteten auch die Deaktivierung des externen Zugriffs auf die Verzeichnisse / CFIDE / administrator und / CFIDE / adminapi.