Eingabehilfen
Adobe
Anmelden Datenschutz Mein Adobe

Sicherheitsbulletin

Hotfix für potenzielle Schwachstelle bei der Eingabevalidierung in Adobe ColdFusion 8

Freigabedatum: 8. Juli 2009

Letzte Aktualisierung: 9. Juli 2009

Kennung der Sicherheitslücke: APSB09-09

CVE-Nummer: CVE-2009-2265

Plattform: Alle Plattformen

Zusammenfassung

Eine Schwachstelle im FCKEditor in Adobe ColdFusion 8 ermöglicht es externen Angreifern, Dateien in abweichende Verzeichnisse hochzuladen. Dies kann sich auf das gesamte System auswirken. Diese Schwachstelle kann durch externe Exploits ausgenutzt werden. Adobe sind Fälle bekannt, in denen diese Sicherheitslücke bereits ausgenutzt wurde.

Betroffene Software-Versionen

ColdFusion 8, ColdFusion 8.0.1

Lösung

Adobe empfiehlt Anwendern von ColdFusion, ihre Software anhand der folgenden Anweisungen zu aktualisieren.
HINWEIS: Anwender von Adobe ColdFusion 8 sollten zuerst ein Update auf Adobe ColdFusion 8.0.1* durchführen, falls sie dies noch nicht getan haben. Für Adobe ColdFusion 8 ist ebenfalls ein Hotfix verfügbar (siehe unten).

ColdFusion 8.0.1

  1. Laden Sie den Hotfix* herunter, und extrahieren Sie die Dateien aus dem ZIP-Paket. (10 KB)
  2. Starten Sie ColdFusion Administrator, und wenden Sie den Hotfix über die Seite mit den Systeminformationen an.
  3. Erstellen Sie eine Sicherungskopie des Ordners /CFIDE/scripts/ajax/FCKeditor außerhalb des Webroot-Verzeichnisses.
  4. Laden Sie CFIDE.zip herunter, und extrahieren Sie die enthaltenen Dateien.
  5. Führen Sie den extrahierten CFIDE-Ordner mit dem im Webroot-Verzeichnis gespeicherten CFIDE-Ordner zusammen, und überschreiben Sie Dateien im vorhandenen CFIDE-Ordner bei entsprechender Aufforderung.
  6. Löschen Sie die Dateien cf5_upload.cfm und cf5_connector.cfm aus cfwebroot\CFIDE\scripts\ajax\FCKeditor\editor\filemanager\connectors\cfm.
  7. Starten Sie Adobe ColdFusion neu.

Optional: Um Datei-Uploads in den FCKEditor zu ermöglichen, wenn das CFTEXTAREA-Tag mit Rich Text verwendet wird, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass nur Anwender mit gültigen Anmeldedaten auf die cfm-Seite zugreifen können, wenn CFTEXTAREA richtext auf „true“ gesetzt ist.
  2. Öffnen Sie die Datei jvm.config, und fügen Sie das Argument „–Dcoldfusion.fckupload=true“ hinzu.
  3. Öffnen Sie cfwebroot/CFIDE/scripts/ajax/FCKeditor/editor/filemanager/connectors/cfm/Config.cfm, und setzen Sie Config.Enabled auf „true“.
  4. Setzen Sie sessionmanagement\clientmanagement in Application.cfc oder Application.cfm für die Anwendung auf „true“, in der dem cftextarea-Tag mit dem Attribut „richtext“ die Einstellung „true“ zugeordnet ist.

Nach der Installation über ColdFusion Administrator können Sie die extrahierte Hotfix-Datei (JAR) für ColdFusion löschen, da sie während der Installation in den korrekten Ordner kopiert wurde. Die Hotfix-Datei (JAR) für ColdFusion wird jetzt in den Systeminformationen aufgeführt.

ColdFusion 8

In ColdFusion 8 ist config.Enabled in der Datei editor/filemanager/connectors/cfm/config.cfm standardmäßig auf „false“ gesetzt, um das Risiko eines Angriffs zu vermindern. Um den Schutz ihrer Daten zu verbessern, empfiehlt Adobe Anwendern von ColdFusion 8, die kein Update auf ColdFusion 8.0.1 ausführen können, folgende Vorgehensweise:

  1. Laden Sie den Hotfix herunter, und extrahieren Sie die Dateien aus dem ZIP-Paket. (10 KB)
  2. Starten Sie ColdFusion Administrator, und wenden Sie den Hotfix über die Seite mit den Systeminformationen an.
  3. Erstellen Sie eine Sicherungskopie des Ordners /CFIDE/scripts/ajax/FCKeditor außerhalb des Webroot-Verzeichnisses.

  4. Löschen Sie den Ordner FCKeditor in /CFIDE/scripts/ajax.

  5. Laden Sie CFIDE-CF8_0.zip herunter, und extrahieren Sie die enthaltenen Dateien.
    1. Kopieren Sie den Ordner FCKeditor in /CFIDE/scripts/ajax.
    2. Ersetzen Sie cfrichtexteditor.js in /CFIDE/scripts/ajax/package.
  6. Führen Sie den extrahierten CFIDE-Ordner mit dem im Webroot-Verzeichnis gespeicherten CFIDE-Ordner zusammen, und überschreiben Sie Dateien im vorhandenen CFIDE-Ordner bei entsprechender Aufforderung.
  7. Starten Sie Adobe ColdFusion neu.

Optional: Um Datei-Uploads in den FCKEditor zu ermöglichen, wenn das CFTEXTAREA-Tag mit Rich Text verwendet wird, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass nur Anwender mit gültigen Anmeldedaten auf die cfm-Seite zugreifen können, wenn CFTEXTAREA richtext auf „true“ gesetzt ist.
  2. Öffnen Sie die Datei jvm.config, und fügen Sie das Argument „–Dcoldfusion.fckupload=true“ hinzu.
  3. Öffnen Sie cfwebroot/CFIDE/scripts/ajax/FCKeditor/editor/filemanager/connectors/cfm/Config.cfm, und setzen Sie Config.Enabled auf „true“.
  4. Setzen Sie sessionmanagement\clientmanagement in Application.cfc oder Application.cfm für die Anwendung auf „true“, in der dem cftextarea-Tag mit dem Attribut „richtext“ die Einstellung „true“ zugeordnet ist.

Schweregrad

Adobe stuft dieses Problem als kritisch ein. Die Installation des Updates wird allen betroffenen Anwendern empfohlen.

Details

Eine Schwachstelle im FCKEditor in Adobe ColdFusion 8 ermöglicht es externen Angreifern, Dateien in abweichende Verzeichnisse hochzuladen. Dies kann sich auf das gesamte System auswirken. Dieser Hotfix aktualisiert die in ColdFusion 8 enthaltene Version von FCKEditor, deaktiviert standardmäßig Datei-Upload-Funktionen, beschränkt den Zugriff auf cfm-Dateien im Verzeichnis FCKeditor\editor\filenamanger und berechtigt nur Anwender mit gültigen Sitzungsdaten zum Hochladen von Dateien. Diese Schwachstelle kann durch externe Exploits ausgenutzt werden. Adobe sind Fälle bekannt, in denen diese Sicherheitslücke bereits ausgenutzt wurde.

Danksagung

Adobe bedankt sich bei Jeremy Prevost von der Northwestern University* (CVE-2009-2265) für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden.

Historie

9. Juli 2009 – Bulletin mit Danksagung und Informationen zum Hotfix für Adobe ColdFusion 8 aktualisiert
8. Juli 2009 – Bulletin erstellt

Adobe-Haftungsausschluss

Lizenzvereinbarung

Durch die Nutzung der Software von Adobe Systems Incorporated oder seiner Tochtergesellschaften („Adobe“) erklären Sie sich mit den im Folgenden genannten Nutzungsbedingungen einverstanden. Setzen Sie die Software nicht ein, wenn Sie die Vertragsbedingungen nicht akzeptieren. Falls beim Download oder der Installation einer Programmdatei eine Lizenzvereinbarung für Endanwender mitgeliefert wurde, ersetzt diese die nachfolgend aufgeführten Nutzungsbedingungen.

Die Ausfuhr und Wiederausfuhr von Adobe-Software-Produkten unterliegen den United States Export Administration Regulations (Exportbestimmungen der Vereinigten Staaten). Die Software darf nicht in die folgenden Länder ausgeführt oder wiederausgeführt werden: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Darüber hinaus darf Adobe-Software nicht an Personen weitergegeben werden, die in folgenden Dokumenten geführt werden: Table of Denial Orders, Entity List, List of Specially Designated Nationals.

Wenn Sie ein Adobe-Software-Produkt herunterladen, erklären Sie damit, dass Sie kein Staatsangehöriger eines der folgenden Länder sind: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Sie erklären außerdem, dass Ihr Name nicht in den folgenden Dokumenten geführt wird: Table of Denial Orders, Entity List, List of Specially Designated Nationals. Wenn die Software zum gemeinsamen Einsatz mit einer Software-Anwendung („Host-Anwendung“) von Adobe konzipiert wurde, gewährt Ihnen Adobe eine nicht-exklusive Lizenz zur ausschließlichen Verwendung der Software gemeinsam mit der Host-Anwendung, vorausgesetzt, Sie besitzen eine gültige Lizenz von Adobe für die Host-Anwendung. Mit Ausnahme der im Folgenden genannten Fälle unterliegt die Lizenzierung dieser Software den Bedingungen der Adobe-Lizenzvereinbarung für Endanwender, die die Nutzung der Host-Anwendung regelt.

HAFTUNGSSAUSSCHLUSS: SIE BESTÄTIGEN, DASS ADOBE IHNEN HINSICHTLICH DER SOFTWARE KEINE SPEZIELLE ZUSICHERUNG GEMACHT HAT UND DIE SOFTWARE IHNEN IM VORLIEGENDEN ZUSTAND ZUR VERFÜGUNG GESTELLT WIRD. ADOBE SCHLIESST JEGLICHE GARANTIEGEWÄHRLEISTUNG IHNEN GEGENÜBER AUS. ADOBE GEWÄHRT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER NATUR, HINSICHTLICH MARKTGÄNGIGKEIT, BRAUCHBARKEIT FÜR EINEN BESTIMMTEN ZWECK, MARKTÜBLICHER QUALITÄT ODER NICHTVERLETZUNG VON VERTRÄGEN MIT DRITTEN. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss für stillschweigende Gewährleistungen nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.

HAFTUNGSBESCHRÄNKUNG: ADOBE ÜBERNIMMT KEINE HAFTUNG FÜR NICHT-EINSETZBARKEIT, DIE UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT ODER ANDERE VERLUSTE JEGLICHER ART INFOLGE VON DIREKTEN, INDIREKTEN, ZUFÄLLIGEN ODER BESONDEREN FOLGESCHÄDEN (EINSCHLIESSLICH ENTGANGENER GEWINNE), UNABHÄNGIG DAVON, WELCHE AKTIONEN GETÄTIGT WURDE UND OB ES SICH UM EINE VERTRAGS- UND LIZENZGEMÄSSE ODER UM UNERLAUBTE NUTZUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT) HANDELTE, SELBST WENN ADOBE AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss oder eine Haftungsbeschränkung für zufällige oder Folgeschäden nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.

Zurück zum Anfang

Sicherheitshinweise
Benachrichtigungsdienst*
Ressourcen*
Problem melden*
Einstufung der Sicherheitsrisiken

Produkte

Herunterladen

Support und Lernressourcen

Kaufen

Über Adobe

Region wählen

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Nutzungsbedingungen | Richtlinien für den Datenschutz | Cookies