MSI Steam Deal

ColdFusion: Kritische 0-Day-Lücke erfordert Update

Meldung von doelf, Sonntag der 03.03.2019, 15:40:40 Uhr

Eine kritische Sicherheitslücke ermöglicht es Angreifern, die Einschränkungen zum Datei-Upload bei ColdFusion 2018, 2016 und 11 zu umgehen (CVE-2019-7816) und eigenen Code auszuführen. Da die Schwachstelle bereits angegriffen wird, sollten Nutzer die von Adobe bereitgestellten Updates umgehend einspielen!

Das von Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek und dem Bridge-Catalog-Team gemeldete Problem basiert auf der Möglichkeit, ausführbare Dateien in ein vom Web aus zugängliches Verzeichnis hochzuladen. Nach dem Upload können die Angreifer diese Programme über eine HTTP-Anfrage aufrufen, so dass Schadcode im Kontext des ColdFusion-Dienstes ausgeführt wird. Zugriffsbeschränkungen für die Upload-Verzeichnisse entschärfen diese Schwachstelle. Abgesehen von der Fehlerkorrektur hat Adobe auch Anleitungen bereitgestellt, die Administratoren ein schnelles Sperren des ColdFusion-Servers ermöglichen.

Update-Hinweise und Sperr-Anleitungen:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]