Accesibilidad
Adobe
Registrarse Privacidad Mi Adobe

Boletín de seguridad

Recomendación de seguridad para ColdFusion

Fecha de lanzamiento: 4 de enero de 2013

Identificador de vulnerabilidad: APSA13-01

Clasificación de prioridad: 1

Número CVE: CVE-2013-0625, CVE-2013-0629, CVE-2013-0631

Plataforma: Todas

Resumen

Adobe ha identificado tres vulnerabilidades que afectan a ColdFusion para Windows, Macintosh y UNIX:

  • CVE-2013-0625 afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 y puede permitirle a un usuario no autorizado sortear los controles de autenticación de forma remota, lo que podría hacer que el atacante se hiciese con el control del servidor afectado.
  • CVE-2013-0629 afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 y puede permitirle a un usuario no autorizado acceder a directorios restringidos.
  • CVE-2013-0631 afecta a ColdFusion 9.0.2, 9.0.1 y 9.0 y puede divulgar información de un servidor afectado.

Existen informes que concluyen que estas vulnerabilidades se aprovechan en su estado natural para atacar a clientes de ColdFusion. Debe tenerse en cuenta que CVE-2013-0625 y CVE-2013-0629 solo afectan a aquellos clientes de ColdFusion cuya protección mediante contraseña no está activada o no tienen ninguna contraseña establecida.

Estamos finalizando la reparación de los problemas y esperamos que el 15 de enero de 2013 haya una revisión disponible para ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX.

Versiones de software afectadas

ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX

Correcciones

Adobe aconseja a los clientes de ColdFusion llevar a cabo los siguientes pasos para corregir estas vulnerabilidades:

  • Establecer un nombre de usuario y una contraseña para los servicios de desarrollo remotos (RDS). Estas credenciales no deben ser las mismas que la cuenta del administrador. Tras establecer el nombre de usuario y la contraseña, los usuarios deben desactivar los RDS.
  • Desactivar los accesos externos a los siguientes directorios para todos los sitios alojados:
    • /CFIDE/administrator
    • /CFIDE/adminapi
    • /CFIDE/componentutils
  • Eliminar aquellas plantillas o componentes desconocidos o innecesarios de ColdFusion de los directorios raíz web o CFIDE.
  • Introducir restricciones de control de acceso para la interfaz del administrador y las aplicaciones internas a través de la consola de administración (en el caso de la versión 10 de ColdFusion) o, en el caso de las versiones 9.0.2 y anteriores, en los mecanismos de control de acceso del servidor web.
  • Asegurarse de que se haya aplicado la revisión más reciente al producto ColdFusion.
  • Consultar la Guía de bloqueo de ColdFusion 9 y la Guía de bloqueo de ColdFusion 10 para obtener información sobre las prácticas recomendadas de seguridad e información adicional sobre estas técnicas de protección.

Clasificaciones de prioridad y severidad

Adobe asignará la siguiente clasificación de prioridad a esta actualización:

Producto
Versión actualizada
Plataforma
Clasificación de prioridad
ColdFusion 10, 9.0.2, 9.0.1, 9.0 Windows, Macintosh y UNIX
1


Esta actualización solucionará vulnerabilidades importantes del software.

Detalles

Adobe ha identificado tres vulnerabilidades que afectan a ColdFusion para Windows, Macintosh y UNIX:

  • CVE-2013-0625 afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 y puede permitirle a un usuario no autorizado sortear los controles de autenticación de forma remota, lo que podría hacer que el atacante se hiciese con el control del servidor afectado.
  • CVE-2013-0629 afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 y puede permitirle a un usuario no autorizado acceder a directorios restringidos.
  • CVE-2013-0631 afecta a ColdFusion 9.0.2, 9.0.1 y 9.0 y puede divulgar información de un servidor afectado.

Existen informes que concluyen que estas vulnerabilidades se aprovechan en su estado natural para atacar a clientes de ColdFusion. Debe tenerse en cuenta que CVE-2013-0625 y CVE-2013-0629 solo afectan a aquellos clientes de ColdFusion cuya protección mediante contraseña no está activada o no tienen ninguna contraseña establecida.

Estamos finalizando la reparación de los problemas y esperamos que el 15 de enero de 2013 haya una revisión disponible para ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX.

Los usuarios también pueden consultar la información más reciente en el blog del equipo de respuesta a incidentes de seguridad de los productos de Adobe en http://blogs.adobe.com/psirt o suscribiéndose a la fuente RSS enhttp://blogs.adobe.com/psirt/atom.xml.

Renuncia de Adobe

Acuerdo de licencia

Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"), aceptas los siguientes términos y condiciones. Si no estás de acuerdo con los siguientes términos y condiciones, no utilices el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos que se presentan a continuación.

La exportación y reexportación de productos de software de Adobe están controladas por la normativa de exportación de los Estados Unidos y el software no debe exportarse ni reexportarse a Corea del Norte, Cuba, Irán, Iraq, Libia, Siria, Sudán o cualquier país al que los Estados Unidos someta a embargo. Además, el software de Adobe no debe distribuirse entre las personas que figuren en la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.

Al descargar o utilizar un producto de software de Adobe, certificas que no eres ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo y que no eres una de las personas de la tabla de denegación de pedidos, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarse con un producto de software de aplicación (la "aplicación principal") publicado por Adobe, Adobe te concederá una licencia no exclusiva para utilizar dicho software solo con la aplicación principal, siempre y cuando poseas una licencia válida de Adobe para dicha aplicación principal. Excepto en los casos que se establecen a continuación, se te otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.

RENUNCIA A LAS GARANTÍAS: ACEPTAS QUE ADOBE NO TE HAYA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE TE HAGA ENTREGA DEL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUSO, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIABILIDAD, LA CALIDAD DE COMERCIABILIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no se te apliquen.

LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ESTE SE INCLUYA EN EL CONTRATO, EN EL DAÑO LEGAL (INCLUIDA LA NEGLIGENCIA), EN LA ESTRICTA RESPONSABILIDAD DEL PRODUCTO U OTROS, INCLUSO SI ADOBE FUE AVISADO DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no se te apliquen.

Productos

Descargar

Asistencia técnica y aprendizaje

Comprar

Empresa

Seleccione su región

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Condiciones de uso | Privacidad | Cookies