Множественные уязвимости в Adobe ColdFusion и JRun

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в URL в CFIDE/wizards/common/_logintowizard.cfm, CFIDE/wizards/common/_authenticatewizarduser.cfm и CFIDE/administrator/enter.cfm, и в параметре "startRow" в CFIDE/administrator/logviewer/searchlog.cfm. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в ColdFusion. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "logfile" в сценарии logging/logviewer.jsp в консоли управления JRun. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.

4. Уязвимость существует из-за недостаточной обработки входных данных в консоли управления JRun. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за ошибки в ColdFusion, связанной с двойным кодированием нулевого символа. Удаленный пользователь может получить доступ к важным данным на системе.

6. Уязвимость существует из-за ошибки фиксации сессий в ColdFusion. Удаленный пользователь может выполнить некоторые действия в приложении с повышенными привилегиями.

URL производителя: www.adobe.com

Решение: Установите последнюю версию с сайта производителя.

ColdFusion 7.0.2:
http://download.macromedia.com/pub/coldfusion/updates/702/CFIDE-7.0.2.zip
http://download.macromedia.com/pub/coldfusion/updates/702/CF7.0.2.zip
http://download.macromedia.com/pub/coldfusion/updates/702/hf702-1875.jar
http://download.macromedia.com/pub/coldfusion/updates/hf702-1878.jar
http://download.macromedia.com/pub/coldfusion/updates/wsconfig.jar

ColdFusion 8:
http://download.macromedia.com/pub/coldfusion/updates/8/CFIDE-8.zip
http://download.macromedia.com/pub/coldfusion/updates/8/CF8.zip
http://download.macromedia.com/pub/coldfusion/updates/8/hf800-1875.jar
http://download.macromedia.com/pub/coldfusion/updates/hf800-1878.jar
http://download.macromedia.com/pub/coldfusion/updates/wsconfig.jar

ColdFusion 8.0.1:
http://download.macromedia.com/pub/coldfusion/updates/801/CFIDE-cf8.0.1.zip
http://download.macromedia.com/pub/coldfusion/updates/801/CF8.0.1.zip
http://download.macromedia.com/pub/coldfusion/updates/801/hf801-1875.jar
http://download.macromedia.com/pub/coldfusion/updates/hf801-1878.jar
http://download.macromedia.com/pub/coldfusion/updates/wsconfig.jar

JRun 4.0:
http://download.macromedia.com/pub/coldfusion/updates/jmc-app.ear