1. Pagina principale
2. Supporto
3. Consulenza sulla sicurezza

Bollettino sulla sicurezza

Correzione rapida disponibile per un potenziale problema di "purificazione" dell'input in ColdFusion 8

Data di pubblicazione: 8 luglio 2009

Ultimo aggiornamento: 9 luglio 2009

Identificatore di vulnerabilità: APSB09-09

Codice CVE: CVE-2009-2265

Piattaforma: tutte

Riepilogo

A causa di una vulnerabilità rilevata in FCKEditor, incluso come componente di ColdFusion 8, un eventuale aggressore potrebbe caricare da remoto file in directory arbitrarie, compromettendo la sicurezza del sistema. Questo problema può essere sfruttato da remoto. Secondo alcune segnalazioni, questa vulnerabilità viene correntemente sfruttata.

Versioni del software interessate

ColdFusion 8, ColdFusion 8.0.1

Soluzione

Adobe consiglia agli utenti di ColdFusion interessati di aggiornare l'installazione in uso in base alle seguenti istruzioni:
NOTA: se non si è già provveduto, è innanzitutto consigliabile eseguire l'aggiornamento da ColdFusion 8 a ColdFusion 8.0.1. È disponibile anche una correzione rapida per ColdFusion 8.0.1. Per ulteriori dettagli, vedere in seguito.

ColdFusion 8.0.1

1. Scaricare e decomprimere la correzione rapida (10 K).
2. Aprire ColdFusion Administrator e applicare la correzione rapida fornita tramite la pagina System Information.
3. Eseguire una copia di backup della cartella /CFIDE/scripts/ajax/FCKeditor al di fuori della directory di radice (webroot).
4. Scaricare e decomprimere il file CFIDE.zip.
5. Unire la cartella CFIDE appena decompressa con la cartella CFIDE esistente nella webroot, sovrascrivendo, quando richiesto, i file già presenti nella cartella CFIDE.
6. Eliminare i seguenti file: cf5_upload.cfm, cf5_connector.cfm, dalla directory cfwebroot\CFIDE\scripts\ajax\FCKeditor\editor\filemanager\connectors\cfm.
7. Riavviare ColdFusion.

Facoltativo: per consentire il caricamento di file in FCKeditor quando si utilizza il tag CFTEXTAREA con l'attributo "richtext", attenersi alla seguente procedura:

1. Verificare che l'accesso alla pagina cfm in cui si utilizza CFTEXTAREA richtext=true sia limitato ai soli utenti con login valido.
2. Modificare il file jvm.config aggiungendo l'argomento JVM “–Dcoldfusion.fckupload=true”.
3. Modificare cfwebroot/CFIDE/scripts/ajax/FCKeditor/editor/filemanager/connectors/cfm/Config.cfm impostando Config.Enabled = true.
4. Impostare "sessionmanagement\clientmanagement" in Application.cfc o Application.cfm su "true" nell'applicazione che utilizza il tag cftextarea con l'attributo "richtext=true".

Non è necessario mantenere il file JAR contenente la correzione rapida di ColdFusion dopo averlo installato con ColdFusion Administrator. Il file è stato copiato nel percorso corretto. Il file JAR contenente la correzione rapida di ColdFusion viene visualizzato come nuova voce nell'elenco System Information.

ColdFusion 8.0

Per limitare questo problema, ColdFusion 8.0 viene fornito di default con il valore "config.Enabled" impostato su "false" nel file editor/filemanager/connectors/cfm/config.cfm. Gli utenti di ColdFusion 8.0 che non riescono ad eseguire l'aggiornamento a ColdFusion 8.0.1 possono comunque ridurre questo potenziale problema attenendosi alle istruzioni riportate di seguito:

1. Scaricare e decomprimere la correzione rapida (10 K).
2. Aprire ColdFusion Administrator e applicare la correzione rapida fornita tramite la pagina System Information.
3. Eseguire una copia di backup della cartella /CFIDE/scripts/ajax/FCKeditor al di fuori della directory di radice (webroot).

4. Eliminare la cartella FCKeditor in /CFIDE/scripts/ajax.

5. Scaricare e decomprimere il file CFIDE-CF8_0.zip.
   1. Copiare la cartella FCKeditor in /CFIDE/scripts/ajax.
   2. Sostituire il file cfrichtexteditor.js in /CFIDE/scripts/ajax/package.
6. Unire la cartella CFIDE appena decompressa con la cartella CFIDE esistente nella webroot, sovrascrivendo, quando richiesto, i file già presenti nella cartella CFIDE.
7. Riavviare ColdFusion.

Facoltativo: per consentire il caricamento di file in FCKeditor quando si utilizza il tag CFTEXTAREA con l'attributo "richtext", attenersi alla seguente procedura:

1. Verificare che l'accesso alla pagina cfm in cui si utilizza CFTEXTAREA richtext=true sia limitato ai soli utenti con login valido.
2. Modificare il file jvm.config aggiungendo l'argomento JVM “–Dcoldfusion.fckupload=true”.
3. Modificare cfwebroot/CFIDE/scripts/ajax/FCKeditor/editor/filemanager/connectors/cfm/Config.cfm impostando Config.Enabled = true.
4. Impostare l'attributo "sessionmanagement\clientmanagement" nel file Application.cfc o Application.cfm su "true" nell'applicazione che utilizza il tag "cftextarea" con l'attributo "richtext=true".

Livello di gravità

Adobe classifica questo problema come critico e consiglia agli utenti interessati di applicare le patch relative alle installazioni in uso.

Dettagli

A causa di una vulnerabilità rilevata in FCKEditor, incluso come componente di ColdFusion 8, un eventuale aggressore potrebbe caricare da remoto file in directory arbitrarie, compromettendo la sicurezza del sistema. Questa correzione rapida aggiorna la versione di FCKEditor inclusa in ColdFusion 8, disattiva per impostazione predefinita le funzionalità di caricamento file, restringe l'accesso ai file cfm presenti nella directory FCKeditor\editor\filenamanger e limita le funzionalità di caricamento ai soli utenti con sessioni valide. Questo problema può essere sfruttato da remoto. Secondo alcune segnalazioni, questa vulnerabilità viene correntemente sfruttata.

Ringraziamenti

Adobe desidera ringraziare Jeremy Prevost della Northwestern University (CVE-2009-2265) per aver segnalato questa vulnerabilità, contribuendo così a proteggere la sicurezza dei nostri clienti.

Revisioni

9 luglio 2009 - Aggiornamento del bollettino con ringraziamenti e informazioni sulla correzione rapida di ColdFusion 8.0
8 luglio 2009 - Prima pubblicazione del bollettino.

Dichiarazione di non responsabilità di Adobe

Accordo di licenza

L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.

L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Corea del Nord, Cuba, Iran, Iraq, Libia, Siria o Sudan e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.

Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Corea del Nord, Cuba, Iran, Iraq, Libia, Siria o Sudan, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.

ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.

LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.