Lek in ColdFusion kaapt webservers
Gepubliceerd: Woensdag 18 augustus 2010
Auteur: Jasper Bakker
Het gat in Adobe's applicatieserver ColdFusion is gevaarlijker dan de fabrikant aangeeft in de patch-notes. Security-experts waarschuwen dat er exploitcode uit is waarmee webservers zijn te kapen.
Adobe heeft vorige week tegelijk met patches voor Flash ook een patch uitgebracht voor ColdFusion. Het daarmee te dichten beveiligingsgat krijgt van de softwareproducent het label 'belangrijk' mee. Dat is de derde trap in de viertrapsschaal die Adobe hanteert voor de ernst van bugs. Dit lek stelt kwaadwillenden in staat buiten directories te treden, wat tot informatielekkage kan leiden, stelt Adobe in de patch-notes.
Via Google opsporen
Het lek heeft echter grotere gevolgen, waarschuwen beveiligingsexperts. Een security-onderzoeker van HP waarschuwt dat systemen die de Adobe-software draaien hiermee volledig zijn over te nemen. Bovendien vallen kwetsbare systemen simpel via Google op te sporen, blogde Rafal Los van HP afgelopen weekend. Die kwetsbare sites hebben de beheerpagina's van ColdFusion open staan naar internet toe, wat op zich al niet zo veilig is.
De HP-beveiligingsexpert onderschrijft daarmee de analyse van hacker Adrian Pastor die vrijdag al stelde dat het ColdFusion-lek kritiek is en niet slechts 'belangrijk'. Exploitcode voor dit lek is inmiddels publiekelijk beschikbaar. Adobe heeft maandag nog een verklaring uitgegeven waarin het de indeling 'belangrijk' herbevestigt, meldt de Britse ict-nieuwssite The Register.
Advies Adobe: altijd updaten
Adobe erkent impliciet wel dat er meer kwade gevolgen kunnen zijn dan alleen informatie-lekkage. "Omdat het mogelijk is dat een kwetsbaarheid wordt misbruikt in combinatie met andere factoren die de algehele ernst van een aanval kunnen beïnvloede, adviseert Adobe gebruikers altijd om hun installaties te updaten in overeenkomst met best practices voor security", aldus de toegevoegde verklaring.
Adobe biedt beheerders een stappenplan voor het updaten van hun ColdFusion-installatie. Het lek is aanwezig in versies 8 en 9 van ColdFusion, en "in oudere versies", meldt de producent zelf. Het gaat om alle varianten draaiend op Windows, Mac OS X en Unix (wat neerkomt op Solaris en Linux). De vorige week tegelijk uitgebrachte patches voor Flash en de Flash Media Server hebben wel het label 'kritiek' gekregen van Adobe.
