Adobe מזהירה לקוחות של פגמים קריטיים שטרם פורסמו ב- ColdFusion

Adobe הזהירה את המשתמשים בפלטפורמת שרת היישומים ColdFusion של פגיעות קריטית שיכולה להעניק למשתמשים לא מורשים גישה לקבצים רגישים המאוחסנים בשרתים שלהם.

הפגיעות מזוהה כ- CVE- 2013-3336 ומשפיעה על ColdFusion 10, 9.0.2, 9.0.1, 9.0 וגירסאות מוקדמות יותר עבור Windows, Mac ו- Unix, אמרה אדובי ביומון שפורסם ביום רביעי.

החברה זיכתה את מרסין סיידלרז מצוות תגובת האבטחה של סימנטק דיווח על הבעיה. "יש דיווחים כי ניצול לרעה של פגיעות זו זמין לציבור", אמר Adobe.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows]

החברה עובדת על תיקון ומצפה לשחרר אותו באופן ציבורי ב -14 במאי. עד אז, מומלץ ללקוחות להגביל את הגישה הציבורית לספריות רגישות מסוימות כמו CFIDE / admin, CFIDE / adminapi ו- CFIDE / gettingstarted.

מידע על אופן הגבלת הגישה לספריות אלה מסופק ב- LockFusion 9 Lockdown מדריך להנחיית ColdFusion 10. לקוחות אשר הקשיחו את התקנות ColdFusion שלהם בעקבות ההנחיות המסופקות במסמכים טכניים אלה כבר מוגנים מפני CVE-2013-3336, לדברי Adobe. למרות שהיא אינה בשימוש נרחב כמו מוצרי Adobe אחרים, ColdFusion כבר ממוקד על ידי האקרים העבר. בחודש אפריל, שרת וירטואלי וירטואלי אירוח חברת Linode דיווחו כי האקרים זכו גישה לשרת האינטרנט שלה ואת מסד הנתונים של הלקוח על ידי ניצול של פגיעות ColdFusion לא ידועה בעבר.

בחודש ינואר, הוציא Adobe אזהרת אבטחה אזהרה ללקוחות על ארבע נקודות תורפה ColdFusion בעבר לא היו ידועים להיות מנוצל באופן פעיל על ידי התוקפים. שלבי ההפחתה המומלצים באותה עת כללו גם השבתת גישה חיצונית לספריות / CFIDE / admin ו / CFIDE / adminapi.