CERT-FI haavoittuvuustiedote 078/2009

19.8.2009

Haavoittuvuuksia ColdFusionissa ja JRunissa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Adobe on julkaissut päivityksiä verkkosovellusten kehitysalustaan ColdFusioniin ja JRun-sovelluspalvelimeen. Päivityksillä korjataan yhteensä seitsemän haavoittuvuutta. Haavoittuvuuksien avulla hyökkääjä voi suorittaa mielivaltaisia komentoja kohdejärjestelmässä, hankkia luottamuksellista tietoa kuten käyttäjätunnuksia, tai laajentaa käyttöoikeuksiaan kohdejärjestelmässä. Useimmat haavoittuvuuksista ovat tyypiltään XSS-, eli Cross-site scripting-haavoittuvuuksia.

Adoben mukaan päivitykset ovat luonteeltaan kriittisiä.

HAAVOITTUVAT OHJELMISTOT:

• ColdFusion v8.0.1 ja aikaisemmat versiot
• JRun 4.0
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot ohjelmistovalmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.adobe.com/support/security/bulletins/apsb09-12.html
  
• CVE-2009-1872, CVE-2009-1873, CVE-2009-1874, CVE-2009-1875
• CVE-2009-1876, CVE-2009-1877, CVE-2009-1878
  

PÄIVITYSHISTORIA:

19.8.2009, kello 10.13: Julkaistu

Sivua päivitetty 19.08.2009

Tulostusversio