Adobe reconoce vulnerabilidades de ColdFusion


Adobe ha advertido a los usuarios de ColdFusion, su software para servidores de aplicaciones, de que los hackers están explotando vulnerabilidades no parcheadas del producto que podrían llevar a tomar el control de los servidores afectados.





El pasado viernes la compañía publicó un aviso de seguridad en el que informaba sobre tres vulnerabilidades críticas identificadas como CVE-2013-0625, CVE-2013-0629 y CVE-2013-063 y que afectan a ColdFusion 10, 9.0.2, 9.0.1 y 9.0.

El fallo CVE-2013-0625 se puede explotar superando los controles de autenticación y tomando el control del servidor ColdFusion; la vulnerabilidad CVE-2013-0629 puede permitir que los usuarios no autorizados accedan a directorios restringidos en un servidor vulnerable, mientras que el fallo CVE-2013-0631 puede provocar que se revele información.

En ese mismo aviso de seguridad Adobe reconoce que existen varios informes que indican que estas tres vulnerabilidades se están explotando y que las vulnerabilidades identificadas como CVE-2013-0625 y CVE-2013-0629 sólo afectan a los clientes de ColdFusion que no tienen habilitada la protección de contraseñas.

La compañía está trabajando para desarrollar parches para estas vulnerabilidades y espera lanzarlos el próximo 15 de enero. Hasta entonces, los clientes pueden realizar una serie de acciones que reduzcan los riesgos asociados con estos fallos.

Entre los pasos que se pueden dar para limitar los efectos de las vulnerabilidades, Adobe recomienda la de configurar un nombre de usuario y contraseña que sea diferente del utilizado por la cuenta de Administrador para los servicios RDS (Remote Development Services); otra medida es deshabilitar el RDS, así como desactivar el acceso externo a los directorios /CFIDE/administrator, /CFIDE/adminapi and /CFIDE/componentutils para todos los sitios. Adobe también recomienda eliminar los componentes o plantillas de ColdFusion innecesarios de los directorios raíz o CFIDE, además de implementar restricciones de control de acceso para el interfaz de Administrador y aplicaciones internas.

Instalar todos los parches de ColdFusion disponibles y hacer un seguimiento de las mejores prácticas de seguridad publicadas hasta el momento para ColdFusion 9 y ColdFusion 10 son otros de los consejos de Adobe.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es/



Otras noticias de interés:

Los intrusos cibernéticos atentan contra salud financiera, dicen expertos
Es lo que están diciendo los expertos en informática a las empresas afectadas por una constante cadena de infecciones de virus y otras vulnerabilidades que golpean a sus computadoras. Más allá de una simple incomodidad, los intrus...
Nueva actualización de seguridad para PHP
Las versiones no actualizadas de PHP permiten que un atacante con permiso para ejecutar código PHP pueda burlar los mecanismos de seguridad de este lenguaje....
Google parchea tres fallos de alto riesgo detectados en Chrome
Google ha corregido una serie de graves vulnerabilidades en su sistema operativo Chrome 26, incluyendo tres fallos de seguridad de alto riesgo. ...
Cada vez más usuarios se conectan a Internet por móvil
Antevenio Mobile acaba de presentar su estudio Tendencias de navegación en telefonía móvil, que analiza el nivel de conocimiento y el uso de los distintos servicios y contenidos que ofrece el acceso a Internet a través del móvil, así como las p...
Consiguen reabrir antigua vulnerabilidad de Adobe
Los piratas informáticos están utilizando nuevas artimañas para conseguir que los archivos de PDF maliciosos no sean detectados por la mayor parte de los programas de seguridad....
El AVG llega a Android
AVG Technologies anuncia su nueva solución de seguridad para Android. Basándose en el éxito de la aplicación de AVG Mobile Solutions....
Vulnerabilidad en Netware DHCP Server
Se ha conocido recientemente la posibilidad de causar un problema de Denegación de servicio sobre Netware DHCP Server....
Conversión batch a PDF desde OpenOffice.org
Es posible que en ocasiones se te plantee este problema: debes convertir a formato PDF los 80 documentos que tienes en cierto directorio....
Crackstation: PS3, todo un invento para descifrar contraseñas
La consola de Sony ha permitido a un investigador en seguridad aplicar la potencia de cálculo para descifrar contraseñas mucho más rápidamente que con las máquinas actuales....
Tim-Berners Lee critica las aplicaciones móviles
Tim-Berners Lee ha vuelto a defender la universalidad de la Web y ha cargado contra las aplicaciones móviles, destinadas a sistemas como iOS, Android o Windows Phone, acusando a esta tendencia de fragmentar el acceso al contenido de Internet....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adobe
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • coldfusion
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • reconoce
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra