Macromedia выпустила бюллетень, в котором описываются 2 уязвимости в ПО этой компании Macromedia ColdFusion МХ. Обнаружены в версиях 6.0, 6.1, 6.1 J2EE - JRun. Первая уязвимость может использоваться для просмотра каких-либо файлов на удаленном компьютере с расширениями .php, .asp, .pl. Для этого им достаточно отправить на машину-жертву сформированный особым образом запрос, подставив в конец запроса URL ";.cfm". Уязвимость проявляется только при работе с Вэб-сервером IIS. Кроме того, переполнение буфера при включенном режиме отладки Verbose часто приводит к падению сервера JRun ("verbose=true", хотя обычно этот режим отключён). Злоумышленники могут использовать этот недостаток для организации DoS-атак. Файлы, в которых включается этот параметр различаются на разных Вэб-серверах: в IIS - jrun.ini; Netscape, IPlanet, SunOne - obj.conf; Apache - httpd.conf (секция "JRun Settings"). Администраторам сервером рекомендуют воспользоваться кумулятивными патчами.
Описание