com!-Academy-Banner
Sicherheit

Adobe Coldfusion gibt Admin-Passwort preis

von - 20.08.2010
Adobe Coldfusion gibt Admin-Passwort preis
Coldfusion, Adobes Software-Paket für Web-Anwendungen, hat eine Sicherheitslücke, die kritischer zu sein scheint als der Hersteller angibt. Im Extremfall kann ein Angreifer das Serversystem komplett kompromittieren. Adobe hatte die Lücke nur als "wichtig" kategorisiert.
Der Sicherheitsexperte Adrian P. weist auf eine Sicherheitslücke in Adobes Web-Anwendung Coldfusion hin, die der Hersteller zu unterschätzen scheint. Adobe selbst stuft die Schwachstelle als "wichtig" ein. Adrian P. argumentiert in einem Blogeintrag, dass diese Einordnung der Gefährlichkeit der Schwachstelle nicht gerecht werde, da sie potenziell viele Webserver betreffe, die in der Gefahr stünden, von Angreifern komplett übernommen zu werden. Die Attacke wird als "Directory Traversal" oder "Arbitrary File Retrieval" bezeichnet. Dabei gelingt es einem Angreifer, ein Skript, das auf dem Server läuft, so zu überlisten, dass es die Inhalte einer Datei anzeigt, der laut Konfiguration für Außenstehende nicht sichtbar sein sollte. Der Angreifer erhält über die Sicherheitslücke in Coldfusion auch Zugang zum Admin-Passwort des Coldfusion-Servers - je nachdem, wie der Server konfiguriert ist, kann dieses auch im Klartext abgelegt sein. Selbst die verschlüsselte Version des Passwortes lässt sich dem Experten zufolge mit einfachen Tools knacken. Im schlimmsten Fall erhält ein Hacker über den Coldfusion-Admin-Account auch Zugang zum darunterliegenden Betriebssystem. Wie der Angriff im Einzelnen funktioniert, beschreibt der Experte im Blog-Eintrag. Auch der Exploit-Code, der die Sicherheitslücke ausnutzbar macht, ist inzwischen im Internet verfügbar.
Adobe hat einen Patch zur Verfügung gestellt, der das Sicherheitsproblem behebt. Wer einen Coldfusion-Server betreibt, sollte das Programm schnellstmöglich aktualisieren.
Verwandte Themen