DFN-CERT-2014-1352 Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe [Linux][Windows]

DFN-CERT-2014-1352 Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Adobe ColdFusion < 9.0 Update 13 Adobe ColdFusion < 9.0.1 Update 12 Adobe ColdFusion < 9.0.2 Update 7 Adobe ColdFusion < 10.0 Update 14 Adobe ColdFusion < 11.0 Update 2 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere nicht näher beschriebene Schwachstellen in Adobe ColdFusion ermöglichen entweder einem lokalen, nicht authentifizierten Benutzer, als Angreifer, Zugriffsbeschränkungen für IP-Adressen, welche für den ColdFusion-Administrator gelten, zu umgehen oder einem entfernten, nicht authentifizierten Angreifer Cross-Site-Scripting (XSS)- oder Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Adobe adressiert diese Schwachstellen mit Hotfixes für ColdFusion 11, 10, 9.0.2, 9.0.1 und 9.0 auf allen Plattformen. Patch: Adobe Security Bulletian: APSB14-23 (Cold Fusion) http://helpx.adobe.com/security/products/coldfusion/apsb14-23.html

CVE-2014-0572: Schwachstelle in ColdFusion erlaubt Umgehen von
Zugriffsbeschränkungen

Eine nicht näher beschriebene Schwachstelle in ColdFusion ermöglicht einem
lokalen, nicht authentifizierten Benutzer, als Angreifer,
Zugriffsbeschränkungen für IP-Adressen zu umgehen.

CVE-2014-0571: Schwachstelle in ColdFusion erlaubt Cross-Site-Scripting

Eine nicht näher beschriebene Schwachstelle in ColdFusion erlaubt einem
entfernten, nicht authentifizierten Angreifer Cross-Site-Scripting
(XSS)-Angriffe durchzuführen.

CVE-2014-0570: Schwachstelle in ColdFusion erlaubt
Cross-Site-Request-Forgery

Eine nicht näher beschriebene Schwachstelle in ColdFusion erlaubt einem
entfernten, nicht authentifizierten Angreifer Cross-Site-Request-Forgery
(CSRF)-Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1352/

Adobe Security Bulletian: APSB14-23 (Cold Fusion):
http://helpx.adobe.com/security/products/coldfusion/apsb14-23.html

Schwachstelle CVE-2014-0570 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0570

Schwachstelle CVE-2014-0571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0571

Schwachstelle CVE-2014-0572 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0572

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben