Adobe ostrzega klientów o niezałatanych krytycznych błędach w ColdFusion

Adobe ostrzega użytkowników swojej platformy serwera aplikacji ColdFusion o krytycznej luce, która może zapewnić nieautoryzowanym użytkownikom dostęp do poufnych plików przechowywanych na ich serwerach.

Luka jest identyfikowana jako CVE- 2013-3336 i dotyczy wersji ColdFusion 10, 9.0.2, 9.0.1, 9.0 i wcześniejszych dla systemów Windows, Mac i Unix, powiedział Adobe w opublikowanym w środę poradniku.

Firma przyznała Marcinowi Siedlarz, że zespół ds. Bezpieczeństwa firmy Symantec ma zgłaszanie problemu. "Istnieją doniesienia, że ​​exploit dotyczący tej luki jest publicznie dostępny" - powiedział Adobe.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Firma pracuje nad poprawką i spodziewa się opublikować ją publicznie 14 maja. Do tego czasu zaleca się klientom ograniczenie publicznego dostępu do niektórych poufnych katalogów, takich jak CFIDE / administrator, CFIDE / adminapi i CFIDE / rozpoczęcie pracy.

Informacje na temat ograniczania dostępu do tych katalogów znajdują się w ColdFusion 9 Lockdown Guide and ColdFusion 10 Przewodnik po blokadach. Klienci, którzy zahartowali swoje instalacje ColdFusion zgodnie ze wskazówkami zawartymi w tych dokumentach technicznych, są już chronieni przed CVE-2013-3336, powiedział Adobe.

Mimo że nie jest tak szeroko stosowany jak inne produkty Adobe, ColdFusion był atakowany przez hakerów w przeszłość. W kwietniu, firma hostingowa prywatnego serwera prywatnego Linode poinformowała, że ​​hakerzy uzyskali dostęp do swojego serwera sieci Web i bazy danych klientów, wykorzystując nieznaną wcześniej lukę ColdFusion.

W styczniu firma Adobe wydała ostrzeżenie o bezpieczeństwie, ostrzegając klientów o czterech nieznanych wcześniej lukach w oprogramowaniu ColdFusion. aktywnie wykorzystywane przez napastników. Zalecane w tym czasie kroki łagodzące obejmowały również wyłączenie zewnętrznego dostępu do katalogów / CFIDE / administrator i / CFIDE / adminapi.