Adobe reconoce vulnerabilidades de ColdFusion


Adobe ha advertido a los usuarios de ColdFusion, su software para servidores de aplicaciones, de que los hackers están explotando vulnerabilidades no parcheadas del producto que podrían llevar a tomar el control de los servidores afectados.





El pasado viernes la compañía publicó un aviso de seguridad en el que informaba sobre tres vulnerabilidades críticas identificadas como CVE-2013-0625, CVE-2013-0629 y CVE-2013-063 y que afectan a ColdFusion 10, 9.0.2, 9.0.1 y 9.0.

El fallo CVE-2013-0625 se puede explotar superando los controles de autenticación y tomando el control del servidor ColdFusion; la vulnerabilidad CVE-2013-0629 puede permitir que los usuarios no autorizados accedan a directorios restringidos en un servidor vulnerable, mientras que el fallo CVE-2013-0631 puede provocar que se revele información.

En ese mismo aviso de seguridad Adobe reconoce que existen varios informes que indican que estas tres vulnerabilidades se están explotando y que las vulnerabilidades identificadas como CVE-2013-0625 y CVE-2013-0629 sólo afectan a los clientes de ColdFusion que no tienen habilitada la protección de contraseñas.

La compañía está trabajando para desarrollar parches para estas vulnerabilidades y espera lanzarlos el próximo 15 de enero. Hasta entonces, los clientes pueden realizar una serie de acciones que reduzcan los riesgos asociados con estos fallos.

Entre los pasos que se pueden dar para limitar los efectos de las vulnerabilidades, Adobe recomienda la de configurar un nombre de usuario y contraseña que sea diferente del utilizado por la cuenta de Administrador para los servicios RDS (Remote Development Services); otra medida es deshabilitar el RDS, así como desactivar el acceso externo a los directorios /CFIDE/administrator, /CFIDE/adminapi and /CFIDE/componentutils para todos los sitios. Adobe también recomienda eliminar los componentes o plantillas de ColdFusion innecesarios de los directorios raíz o CFIDE, además de implementar restricciones de control de acceso para el interfaz de Administrador y aplicaciones internas.

Instalar todos los parches de ColdFusion disponibles y hacer un seguimiento de las mejores prácticas de seguridad publicadas hasta el momento para ColdFusion 9 y ColdFusion 10 son otros de los consejos de Adobe.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es/



Otras noticias de interés:

Google parchea 12 vulnerabilidades en Chrome
Google ha parcheado 12 vulnerabilidades en su navegador Chrome, entre los que se incluye uno que ha sido catalogado como crítico y que lleva amenazando a Chrome durante cinco años....
Primer Evento de la Comunidad OpenStack 24 de agosto de 2013
OpenStack Venezuela: Es un Grupo Venezolano dedicado a compartir sus conocimientos y experiencias en OpenStack (Software de Cloud basado en código abierto), capaz de entender los conceptos de computación en la nube, hacer implementaciones basadas e...
Utilidad para vigilar el uso del Modo Protegido de IE
El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a C...
El Spam se carga a una nueva víctima
Uno de los problemas más graves de Internet es el tráfico monstruoso de Spam. Se podría decir que mientras la Web fue evolucionando, el Spam siguió creciendo y no encontró nadie que realmente le ponga palos en la rueda. Seguramente atrás allá ...
Firefox quiere trabajar en multiproceso
Uno de los puntos en los que más énfasis puso Google en la presentación de Google Chrome fue en su seguridad y estabilidad, algo que consigue, en parte, utilizando distintos procesos para cada una de las pestañas abiertas, de forma que estas no p...
AOL lanza una herramienta para bloquear la publicidad emergente al navegar!
America Online (AOL) lanzó hoy una herramienta para que sus millones de usuarios puedan bloquear la mayoría de las ventanas publicitarias emergentes que se abren encima (pop-up) y debajo (pop-under) de los web que visitan, dificultando su navega...
#Google libera código fuente #Android 4.0
Google ha liberado el código fuente de la nueva versión del sistema operativo para teléfonos móviles y Tablet Android 4.0. Así lo confirman un grupo de desarrolladores a través de la red social del Google, informando al resto de programadores q...
MSN Messenger y/o Windows Live Messenger causan problemas
Muchos usuarios en Internet buscan la solución a un problema existente con el desfragmentador de Windows. La aplicación responsable podría ser Windows Live Messenger. ...
Microsoft publicará cinco boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad, uno dedicado a su sistema operativo Windows, uno para Visual Studio, uno para Microsoft Wind...
Microsoft pide tregua a Linux en vídeo
Cuando se piensa que ya se ha visto todo, aparece esto. Microsoft felicita a Linux en su 20 aniversario enviando un vídeo en el que hace un recorrido por sus relaciones y tiende la mano hacia una tregua entre sistemas....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adobe
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • coldfusion
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • reconoce
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra