DFN-CERT-2016-0748 Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Apple][Windows]

DFN-CERT-2016-0748 Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Adobe ColdFusion <= 10.0 Update 18 Adobe ColdFusion <= 11.0 Update 7 Adobe ColdFusion <= 2016.0.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Adobe ColdFusion ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, einen Cross-Site-Scripting-Angriff und die Darstellung falscher Informationen. Adobe informiert über die Schwachstellen und stellt die Hotfixes ColdFusion 10 Update 19, ColdFusion 11 Update 8 und ColdFusion 2016 Update 1 zur Behebung der Schwachstellen bereit. Patch: Adobe Security Bulletin APSB16-16 (Adobe Cold Fusion) https://helpx.adobe.com/security/products/coldfusion/apsb16-16.html

CVE-2016-1115: Schwachstelle in Adobe ColdFusion ermöglicht Darstellung
falscher Informationen

Ein Problem bei der Verifizierung von Hostnamen mit Platzhaltern (Wildcards)
in X.509-Zertifikaten in Adobe ColdFusion ermöglicht einem entfernten, nicht
authentifizierten Mittelsmann-Angreifer (Man-in-the-middle) die Imitation
eines Servers und damit die Darstellung falscher Informationen.

CVE-2016-1114: Schwachstelle in Adobe ColdFusion ermöglicht Ausführung
beliebigen Programmcodes

Über ein speziell präpariertes serialisiertes Java-Objekt im Kontext der
Apache Commons Collections Library kann ein entfernter, nicht
authentifizierten Angreifer in Adobe ColdFusion beliebigen Programmcode
ausführen.

CVE-2016-1113: Schwachstelle in Adobe ColdFusion ermöglicht
Cross-Site-Scripting-Angriff

Die fehlerhafte Prüfung von Eingangsdaten in Adobe ColdFusion ermöglicht
einem entfernten, nicht authentifizierten Angreifer einen
Cross-Site-Scripting-Angriff (XSS).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0748/

Adobe Security Bulletin APSB16-16 (Adobe Cold Fusion):
https://helpx.adobe.com/security/products/coldfusion/apsb16-16.html

Schwachstelle CVE-2016-1113 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1113

Schwachstelle CVE-2016-1114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1114

Schwachstelle CVE-2016-1115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1115

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben