Accessibilità
Adobe
Accedi Privacy Il mio Adobe

Bollettino sulla sicurezza

Patch di correzione disponibile per il problema di divulgazione delle informazioni di ColdFusion MX7 e JRun 4

Data di pubblicazione: 9 gennaio 2007

Identificatore di vulnerabilità: APSB07-02

Codice CVE: CVE-2006-5858

Piattaforme: Windows, solo IIS

Versioni del software interessate

ColdFusion MX 7, ColdFusion MX 7.0.1, ColdFusion MX 7.0.2 e JRun 4.

Riepilogo

Una possibile vulnerabilità nell'analisi degli URL di ColdFusion e JRun potrebbe consentire a un aggressore di accedere agli elenchi di directory nella directory di installazione di ColdFusion e JRun. Un comando speciale creato manualmente e inviato al server di ColdFusion e JRun potrebbe consentire a un aggressore di accedere agli elenchi di directory.

Soluzione

Adobe consiglia agli utenti di ColdFusion e JRun di applicare l'aggiornamento seguente in base alle istruzioni di installazione riportate di seguito. Prima di seguire le istruzioni, gli utenti di ColdFusion che eseguono ColdFusionMX 7.0 devono effettuare l'aggiornamento a ColdFusion MX 7.0.1. Gli utenti di JRun 4 devono effettuare l'aggiornamento almeno a JRun 4 Updater 5 prima di seguire le istruzioni.

NOTA: eseguire il backup dei file esistenti prima di apportare modifiche. Come sempre, verificare le modifiche in un ambiente non dedicato alla produzione prima di applicarle ai server di produzione.

Istruzioni per l'installazione

Server ColdFusion MX 7.01 e 7.02

  1. Eseguire il backup del file esistente {cfmx_root}runtime\lib\wsconfig.jar rinominandolo wsconfig.jar.bu.
  2. Scaricare la correzione (wsconfig-U5-65311.jar - 2,4 MB).
  3. Rinominarla wsconfig.jar
  4. Arrestare tutti i server ColdFusion MX e IIS (servizi di pubblicazione WWW) e il servizio Strumentazione gestione Windows per sbloccare il connettore IIS.
    Nota: questo passaggio è importante per gli ISP. Se IIS è in esecuzione, il programma di installazione del connettore arresta e quindi riavvia ogni sito durante l'upgrade, rallentando il processo.
  5. Individuare la directory {cfmx_root}\runtime\lib ed eseguire l'upgrade del connettore:
          cd {cfmx_root}\runtime\lib
    java -Dtrace.ci=1 -jar wsconfig.jar -upgrade -v
  6. Assicurarsi che l'upgrade vada a buon fine.
    • Controllare che non esistano errori nel file {cfmx_root}\runtime\lib\wsconfig\wsconfig.log
    • Controllare la scheda di versione/proprietà di {jrun_root}\lib\wsconfig\(number)\jrun_iis6_wildcard.dll se si esegue IIS6. Se si esegue IIS5, controllare le proprietà di jrun.dll. Il campo denominato "Versione prodotto" deve includere 4.0.5.42873
              Un altro metodo per controllare la versione consiste nell'interrogare direttamente il file wsconfig.jar nel modo seguente:
                java -jar wsconfig.jar -info

    Il comando deve restituire "Macromedia JRun 4.0 (Build 108409)".


Server multipli ColdFusion MX 7.01 e 7.02 con JRun 4 Updater 5 o JRun 4 Updater 5

NOTA: le nuove installazioni di 7.01 e 7.02 vengono eseguite in Updater 5 come già installate.

  1. Eseguire il backup del file esistente {jrun_root}\lib\wsconfig.jar rinominandolo wsconfig.jar.bu.
  2. Scaricare la correzione (wsconfig-U5-65311.jar - 2,4 MB).
  3. Rinominarla wsconfig.jar
  4. Arrestare tutti i server di ColdFusion MX, JRun e IIS (servizi di pubblicazione WWW). Arrestare anche il servizio Strumentazione gestione Windows per sbloccare il connettore IIS.
    Nota: questo passaggio è importante per gli ISP. Se IIS è in esecuzione, il programma di installazione del connettore arresta e quindi riavvia ogni sito durante l'upgrade, rallentando il processo.
  5. Individuare la directory /jrun4/lib ed eseguire l'upgrade del connettore:
          cd {jrun_root}/lib
    java -Dtrace.ci=1 -jar wsconfig.jar -upgrade -v
  6. Assicurarsi che l'upgrade vada a buon fine.
    • Controllare che non esistano errori nel file {jrun_root}\lib\wsconfig\wsconfig.log
    • Controllare la scheda di versione/proprietà di {jrun_root}\lib\wsconfig\(number)\jrun_iis6_wildcard.dll se si esegue IIS6. Se si esegue IIS5, controllare le proprietà di jrun.dll. Il campo denominato "Versione prodotto" deve includere 4.0.5.42873
              Un altro metodo per controllare la versione consiste nell'interrogare direttamente il file wsconfig.jar nel modo seguente:
                java -jar wsconfig.jar -info
                Il comando deve restituire "Macromedia JRun 4.0 (Build 108407)".

Server multipli ColdFusion MX 7.01 e 7.02 con JRun 4 Updater 6 o JRun 4 Updater 6

NOTA: le nuove installazioni di 7.01 e 7.02 vengono eseguite in Updater 5 come già installate. Potrebbe essere necessario eseguire un aggiornamento manuale a Updater 6.

  1. Eseguire il backup del file esistente {jrun_root}\lib\wsconfig.jar rinominandolo wsconfig.jar.bu.
  2. Scaricare la correzione (wsconfig-U6-65311.jar - 2,5 MB).
  3. Rinominarla wsconfig.jar
  4. Arrestare tutti i server di ColdFusion MX, JRun e IIS (servizi di pubblicazione WWW). Arrestare anche il servizio Strumentazione gestione Windows per sbloccare il connettore IIS.
    Nota: questo passaggio è importante per gli ISP. Se IIS è in esecuzione, il programma di installazione del connettore arresta e quindi riavvia ogni sito durante l'upgrade, rallentando il processo.
  5. Individuare la directory \jrun4\lib ed eseguire l'upgrade del connettore:
          cd {jrun_root}/lib
    java -Dtrace.ci=1 -jar wsconfig.jar -upgrade -v
  6. Assicurarsi che l'upgrade vada a buon fine.
    • Controllare che non esistano errori nel file {jrun_root}\lib\wsconfig\wsconfig.log
    • Controllare la scheda della versione/delle proprietà di {jrun_root}\lib\wsconfig\(number)\jrun_iis6_wildcard.dll se si esegue IIS6. Se si esegue IIS5, controllare le proprietà di jrun.dll. Il campo denominato "Versione prodotto" deve includere 4.0.6.42871
              Un altro metodo per controllare versione/proprietà consiste nell'interrogare direttamente il file wsconfig.jar nel modo seguente:
                java -jar wsconfig.jar -info
                Il comando deve restituire "Macromedia JRun 4.0 (Build 108407)".
  7. Scaricare jrun-hotfix-65311.jar e salvarlo in {jrun_root}\servers\lib.

Livello di gravità

Adobe classifica questo aggiornamento come importante e consiglia agli utenti interessati di applicare le patch relative alle installazioni in uso.

Informazioni dettagliate

Una possibile vulnerabilità nell'analisi degli URL di ColdFusion e JRun potrebbe consentire a un aggressore di accedere agli elenchi di directory nella directory di installazione di ColdFusion o JRun. Un comando speciale creato manualmente e inviato al server di ColdFusion o JRun potrebbe consentire a un aggressore di accedere agli elenchi di directory. Questo problema può essere sfruttato da remoto.  Questo problema è specifico delle installazioni Windows IIS con ColdFusion e JRun.

Ringraziamenti

Adobe desidera ringraziare Inge Henriksen, collaboratrice dell'iDefense Vulnerability Contributor Program, per aver segnalato questa vulnerabilità, contribuendo così a proteggere la sicurezza dei nostri clienti.

Dichiarazione di non responsabilità di Adobe

Contratto di licenza

L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.

L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.

Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.

Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.

ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.

LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.

Consulenza sulla sicurezza
Servizio di notifica*
Risorse*
Avvisi*
Valutazione della gravità

Prodotti

Download

Supporto e formazione

Acquista

Società

Scegli il paese

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Termini di utilizzo | Privacy | Cookie