ColdFusion-Schwachstelle angeblich kritischer als angenommen

Adobe hat der Schwachstelle den Status "wichtig" eingeräumt, da sie nur bei Nicht-Standard-Installationen auftreten kann. In Wirklichkeit gebe es aber eine ganze Menge Nicht-Standard-Installationen, auf denen sich die Sicherheitslücke ausnutzen lässt. Mittels Directory-Traversal-Angriffen können Angreifer auf diverse Dateien des Servers zugreifen. Dazu gehöre auch die Passwort-Datei password.properties. Diese Datei könnte, je nach Konfiguration, das Kennwort des Administrators im Klartext erhalten.

Ein Python-Exploit geistert bereits im Internet umher. Betroffen sind ColdFusion-Versionen 8.0, 8.0.1, 9.0, 9.0.1 und früher unter Windows, Mac und UNIX. Somit sollten Administratoren ein Sicherheits-Update so schnell als möglich einspielen. Weitere Informationen finden Sie auch auf gnucitizen.org. (jdo)