Accessibilité
Adobe
Identification Politique de confidentialité Mon Adobe

Bulletin de sécurité

Avis de sécurité pour ColdFusion

Date de publication : 4 janvier 2013

Identifiant de vulnérabilité : APSA13-01

Priorité : 1

Références CVE : CVE-2013-0625, CVE-2013-0629, CVE-2013-0631

Plate-forme : toutes

Synthèse

Adobe a identifié trois vulnérabilités concernant ColdFusion pour Windows, Macintosh et UNIX :

  • La vulnérabilité CVE-2013-0625 concerne les versions 10, 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait permettre à un utilisateur non autorisé de contourner à distance les contrôles d'authentification et de prendre le contrôle du serveur concerné.
  • La vulnérabilité CVE-2013-0629 concerne les versions 10, 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait permettre à un utilisateur non autorisé d'avoir accès à des répertoires restreints.
  • La vulnérabilité CVE-2013-0631 concerne les versions 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait entraîner la divulgation d'informations depuis un serveur compromis.

Il est avéré que des pirates ont réussi à tirer parti de ces vulnérabilités dans ColdFusion. Notez que les références 2013-0625 et CVE-2013-0629 concernent uniquement les clients ColdFusion qui ne disposent pas d'une protection par mot de passe ou qui ne l'ont pas défini.

Le correctif à ces problèmes est sur le point d'être finalisé. Il sera disponible pour ColdFusion 10, 9.0.2, 9.0.1 et 9.0 pour Windows, Macintosh et UNIX le 15 janvier 2013.

Versions logicielles concernées

ColdFusion 10, 9.0.2, 9.0.1 et 9.0 pour Windows, Macintosh et UNIX

Limitation de risques

Adobe recommande aux utilisateurs de ColdFusion de prendre les mesures suivantes pour limiter les risques liés à ces vulnérabilités :

  • Configurez un nom d'utilisateur et un mot de passe pour le RDS (Remote Development Services). Ces données de connexion doivent être différentes de celles de l'administrateur du compte. Après avoir configuré le nom d'utilisateur et le mot de passe, les utilisateurs pourront désactiver le RDS.
  • Désactivez l'accès externe aux répertoires suivants pour tous les sites hébergés :
    • /CFIDE/administrator
    • /CFIDE/adminapi
    • /CFIDE/componentutils
  • Supprimez tout composant ou modèle ColdFusion inconnu ou inutile des répertoires CFIDE ou webroot.
  • Ajoutez des restrictions de contrôle d'accès pour l'interface administrateur et les applications internes via la console d'administration (dans la version 10 de ColdFusion) ou au sein des mécanismes de contrôle d'accès du serveur web pour les versions 9.0.2 et antérieures.
  • Assurez-vous que vous avez appliqué le dernier correctif en date pour ColdFusion.
  • Consultez les guides ColdFusion 9 Lockdown Guide et ColdFusion 10 Lockdown Guide pour connaître les meilleures pratiques en matière de sécurité et obtenir des informations supplémentaires sur ces techniques de renforcement.

Priorité et degrés de gravité

Adobe attribue la priorité suivante à cette mise à niveau :

Produit
Mise à niveau
Plate-forme
Priorité
ColdFusion 10, 9.0.2, 9.0.1, 9.0 Windows, Macintosh et UNIX
1


Cette mise à niveau corrige les vulnérabilités critiques du logiciel.

Détails

Adobe a identifié trois vulnérabilités concernant ColdFusion pour Windows, Macintosh et UNIX :

  • La vulnérabilité CVE-2013-0625 concerne les versions 10, 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait permettre à un utilisateur non autorisé de contourner à distance les contrôles d'authentification et de prendre le contrôle du serveur concerné.
  • La vulnérabilité CVE-2013-0629 concerne les versions 10, 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait permettre à un utilisateur non autorisé d'avoir accès à des répertoires restreints.
  • La vulnérabilité CVE-2013-0631 concerne les versions 9.0.2, 9.0.1 et 9.0 de ColdFusion et pourrait entraîner la divulgation d'informations depuis le serveur compromis.

Il est avéré que des pirates ont réussi à tirer parti de ces vulnérabilités dans ColdFusion. Notez que les références 2013-0625 et CVE-2013-0629 concernent uniquement les clients ColdFusion qui ne disposent pas d'une protection par mot de passe ou qui ne l'ont pas défini.

Le correctif à ces problèmes est sur le point d'être finalisé. Il sera disponible pour ColdFusion 10, 9.0.2, 9.0.1 et 9.0 pour Windows, Macintosh et UNIX le 15 janvier 2013.

Les utilisateurs peuvent aussi consulter les dernières informations disponibles directement sur le blogue de l'équipe de résolution des incidents pour les produits Adobe à l'adresse http://blogs.adobe.com/psirt ou en s'abonnant au fil RSS sur http://blogs.adobe.com/psirt/atom.xml.

Clause limitative de responsabilité Adobe

Contrat de licence

En utilisant un logiciel d'Adobe Systems Incorporated ou de ses filiales ("Adobe"), vous acceptez les présentes clauses. À défaut, il vous est interdit d'utiliser ce logiciel. Les dispositions du Contrat de licence de l'utilisateur final accompagnant un fichier donné au moment de l'installation ou du téléchargement d'un logiciel prévaudront sur les dispositions ci-après.

L'exportation et la réexportation de logiciels Adobe sont régies par les EAR (Export Administration Regulations) américaines et il est interdit d'exporter ou de réexporter lesdits logiciels vers la Corée du Nord, Cuba, l'Iran, l'Irak, la Libye, le Soudan, la Syrie ou vers tout autre pays soumis à l'embargo des États-Unis. En outre, il est interdit de distribuer des logiciels Adobe à toute personne fichée sur les listes suivantes : Table of Denial Orders, Entity List ou List of Specially Designated Nationals.

En téléchargeant ou en utilisant un logiciel Adobe, vous certifiez ne pas être ressortissant de Corée du Nord, de Cuba, d'Iran, d'Irak, de Libye, du Soudan, de Syrie ou de tout autre pays soumis à l'embargo des États-Unis, ni être fiché sur les listes suivantes : Table of Denial Orders, Entity List ou List of Specially Designated Nationals. Si le logiciel est destiné à être utilisé avec une application ("application hôte") publiée par Adobe, Adobe vous concède une licence non exclusive d'utilisation dudit logiciel avec l'application hôte uniquement, sous réserve que vous possédiez une licence valide émanant d'Adobe pour l'application hôte. Sauf disposition contraire prévue ci-après, ledit logiciel vous est concédé sous licence dans le respect des conditions générales du Contrat de licence de l'utilisateur final régissant votre utilisation de l'application hôte.

DÉNI DE GARANTIE : VOUS RECONNAISSEZ QU'ADOBE NE VOUS A CONSENTI AUCUNE GARANTIE EXPRESSE CONCERNANT LE LOGICIEL ET QUE CE LOGICIEL VOUS EST FOURNI "EN L'ÉTAT" SANS GARANTIE D'AUCUNE SORTE. ADOBE REJETTE TOUTE GARANTIE, EXPRESSE OU TACITE, EN RAPPORT AVEC LE LOGICIEL, Y COMPRIS, NON LIMITATIVEMENT, TOUTE GARANTIE TACITE D'APTITUDE À UN USAGE PARTICULIER, DE NÉGOCIABILITÉ, DE QUALITÉ MARCHANDE OU DE NON-CONTREFAÇON DES DROITS D'UN TIERS. Certains États/juridictions interdisant l’exclusion de garanties tacites, il est possible que les limitations ci-avant ne s’appliquent pas à vous.

LIMITATION DE RESPONSABILITÉ : LA RESPONSABILITÉ D'ADOBE NE POURRA AUCUNEMENT ÊTRE ENGAGÉE À VOTRE ÉGARD EN CAS DE PERTE D'USAGE, D'INTERRUPTION D'ACTIVITÉ, OU DE TOUT TYPE DE DOMMAGE DIRECT, INDIRECT, ACCESSOIRE OU CONSÉCUTIF (MANQUE À GAGNER INCLUS), QUELLE QUE SOIT LA FORME D'ACTION MENÉE — POUR DÉFAUT D'EXÉCUTION DE CONTRAT, EN RESPONSABILITÉ CIVILE (Y COMPRIS POUR FAUTE), STRICTE RESPONSABILITÉ DU PRODUIT OU AUTRE — QUAND BIEN MÊME L'ÉVENTUALITÉ DE TELS DOMMAGES AURAIT ÉTÉ PORTÉE À LA CONNAISSANCE D'ADOBE. Certains États/juridictions interdisant l’exclusion ou la limitation de dommages accessoires ou consécutifs, il est possible que les limitations ci-avant ne s’appliquent pas à vous.

Produits

Télécharger

Support et formation

Acheter

Société

Sélectionnez votre pays

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Conditions d'utilisation | Politique de confidentialité | Cookies