Adobe objavio zakrpu za ColdFusion

Adobe objavio zakrpu za ColdFusion

ColdFusion je Adobe-ova platforma za brzi razvoj veb stranica. 

Zakrpa sadrži ažuriranu verziju BlazeDS-a, server bazirane tehnologije za udaljeni Java pristup i razmjenu veb poruka.

Ranjivost pogađa ColdFusion 10 ažuriranje 16 i ranjije verzije, kao i ColdFusion 11 ažuriranje 5 i ranije verzije.

Preporučujemo da ažurirate ColdFusion 10 na ažuriranje 17 i ColdFusion 11 na ažuriranje 6.

Ranjivost  koja je otkrivena ranije ovog mjeseca se odnosi na XEE ( XML Extended Entity ) ranjivost u BlazeDS   pod oznakom CVE-2015-3269.

 XML (Extensible Markup Language) je jezik za opis podataka. Najčešće se koristi za razmjenu podataka između sistema koji koriste različite tehnologije.  Gradivni elementi XML-a su XML tagovi koji su slični html tagovima.

Jedan od tagova koji se koriste je <!ENTITY> mojim se opisuju XML entiteti. XEE napad se odnosi na pokušaj da se kao parametar <!ENTITY> taga proslijedi datoteka na sistemu. U slučaju lošeg podešavanja napadač može neautorizovano pristupiti sistemskim datotekama i čitati ih.

<!ENTITY entityex SYSTEM “file:///etc/passwd”> – omogućava napadaču da pročita UNIX datoteku sa informacijama o korisnicima. 

Izvor:www.securityweek.com

Leave a Reply