Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ColdFusion

Betroffene Plattformen:

Windows, Linux, AIX (RS/6000), Mac OS, Solaris

Eine Schwachstelle in Adobe ColdFusion ermöglicht entfernten Angreifern
HTTP-Response-Splitting Angriffe, die z.B. für Cross-Site-Scripting-Angriffe
verwendet werden können.

Laut Hersteller sind die Plattformen “Windows, Macintosh und UNIX”
betroffen, ColdFusion wird aber auch für Linux unterstützt.

ColdFusion Security Hotfix APSB12-15:

http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb12-15.html

CVE-2012-2041: Schwachstelle in Adobe ColdFusion

Adobe ColdFusion enthält in den Versionen 9.0.1, 9.0, 8.0.1 sowie 8.0 eine
HTTP-Response-Splitting Schwachstelle. Eingabedaten, die anschließend in
HTTP-Headern ausgegeben werden, werden von der Anwendung nicht ausreichend
bereinigt, so dass ein entfernter Angreifer die Zeichen “\r” (carriage
return) und “\n” (line feed) einfügen kann, um so eigene HTTP-Header zu
erzeugen. Es ist damit möglich, mittels manipulierter HTTP-Header weitere
Angriffe durchzuführen, beispielsweise Cross-Site-Scripting-Angriffe oder
Cache-Poisoning-Angriffe. Im schlimmsten Fall gelingt es dem Angreifer Code
im Browser-Kontext eines Benutzers auszuführen, an geschützte Daten zu
gelangen oder weitere Schwachstellen auszunutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1121/

Das Hersteller Advisory:
http://www.adobe.com/support/security/bulletins/apsb12-15.html

Schwachstelle CVE-2012-2041:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2041

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.