Approaches to More Secure ColdFusion Code
Adobe已向其ColdFusion应用服务器平台的用户发出了一个严重漏洞的警告,该漏洞可能会导致未经授权的用户访问其服务器上存储的敏感文件。
该漏洞被标识为CVE- Adobe公司在周三发布的一份咨询报告中表示,它将影响Windows,Mac和Unix的ColdFusion 10,9.0.2,9.0.1,9.0及更早版本。
该公司向赛门铁克安全响应小组的Marcin Siedlarz表示:报告问题。 “有报道称,这个漏洞的漏洞利用已公开发布,”Adobe表示,“[进一步阅读:如何从Windows PC中删除恶意软件]
该公司正在开发一个修补程序,并期望公开发布它在此之前,建议客户限制公共访问某些敏感目录,如CFIDE / administrator,CFIDE / adminapi和CFIDE / gettingstarted。有关如何限制访问这些目录的信息,请参见ColdFusion 9 Lockdown指南和ColdFusion 10锁定指南。根据这些技术文档中提供的指导加强ColdFusion安装的客户已经受到CVE-2013-3336的保护,Adobe表示,尽管它没有像其他一些Adobe产品那样广泛使用,但ColdFusion已被黑客过去。 4月份,虚拟专用服务器托管公司Linode报告称,黑客通过利用以前未知的ColdFusion漏洞获得对其Web服务器和客户数据库的访问权。<1> 1 年1月,Adobe发布安全警告,向客户警告四个先前未知的ColdFusion漏洞被攻击者积极利用。当时推荐的缓解措施还涉及禁用对/ CFIDE /管理员和/ CFIDE / adminapi目录的外部访问。
