Adobe пропатчила критические уязвимости в ColdFusion и JRun

Перейти вниз

Adobe пропатчила критические уязвимости в ColdFusion и JRun

Сообщение автор yragen в Чт Авг 20, 2009 2:12 pm


Adobe пропатчила критические уязвимости в ColdFusion и JRun


Компания Adobe Systems выпустила патчи, закрывающие уязвимости в двух широко распространенных приложениях для веб-разработки. Некоторые из залатанных дыр позволяют нападающим украсть важную информацию или получить полный контроль над машинами пользователей.
В общей сложности, патчи закрывают семь дыр в ColdFusion 8.0.1 и более ранних версиях, а также в JRun 4.0. Самый серьезный баг – уязвимость к межсайтовому скриптингу, методу, позволяющему выполнить вредоносный код, подсунув жертве ссылку-ловушку.
Помимо этого, программисты Adobe закрыли отдельный баг в консоли управления. Дыра позволяла неавторизованным пользователям обходить ограничения на работу с закрытыми директориями, что могло привести к утечке информации. Выпущенный во вторник образец кода показывает, что данную уязвимость можно использовать при помощи ссылки, которая выглядит примерно следующим образом:

http://[server]/server/[profile]/logging/logviewer.jsp?logfile=../../../../../../../boot.ini

Все эти патчи выходят как раз в то время, когда компания Adobe, чье программное обеспечение, пожалуй, еще более распространено, чем ПО от Microsoft, с трудом справляется с выпуском заплаток для многочисленных дыр, из-за которых на компьютеры с установленными продуктами Adobe попадают вредоносные приложения. Так, три недели назад специалисты по безопасности этой фирмы выпустили патч для Flash Player, дыру в котором преступники использовали для взлома пользовательских машин. Кроме того, можно вспомнить и о том, что в прошлом месяце злоумышленники скомпрометировали большое число веб-сайтов, использовав в качестве мишени для атаки входящий в пакет ColdFusion открытый текстовый редактор.
В мае этого года в Adobe заявили о пересмотре подхода к обеспечению безопасности в приложении Adobe Reader, которое используется для работы с документами PDF. Начало просто прекрасное, однако назвать данную инициативу адекватной нельзя при всем желании, поскольку Flash и другие широко используемые программы Adobe по-прежнему остаются без защиты.




Компания сообщила о том, что ей неизвестно о существовании реальных эксплоитов для последних уязвимостей в ColdFusion и JRun. Выпущенный по этому поводу бюллетень безопасности доступен для изучения здесь


Источник: xakep.ru
avatar
yragen
Admin

Сообщения : 233
Дата регистрации : 2009-07-30

http://utest.forum2x2.ru

Вернуться к началу Перейти вниз

Вернуться к началу


 
Права доступа к этому форуму:
Вы не можете отвечать на сообщения