ColdFusion-Hotfix veröffentlicht
Adobe hat einen Patch für den Application Server ColdFusion veröffentlicht, der ein kritisches Leck schliesst.
10. Januar 2007
Die ColdFusion-Versionen 7.0 und höher ermöglichen es einem Angreifer, Dateien auf dem Webserver auszuspähen. Allerdings tritt das Leck nur auf, wenn Microsofts IIS Verwendung findet. Wie iDefence berichtet, macht sich das Problem bei URLs mit codierten NULL-Bytes bemerkbar. Theoretisch soll es damit möglich sein, andere Files einzusehen, auf die der IIS Zugriff hat. Im Extremfall liessen sich sogar Passworte auslesen.
Das Leck tritt nur auf, wenn als Webserver der IIS im Einsatz ist, andere Konfigurationen sind nicht betroffen. ColdFusion-7.0-Systeme müssen zuerst auf die Version 7.01 aktualisiert werden, bevor der Hotfix installiert werden kann. (rd)
Artikel kommentieren
