Fecha de publicación: 17 de agosto de 2009
Última actualización: 28 de agosto de 2009
Identificador de vulnerabilidad: APSB09-12
Número CVE: CVE-2009-1872, CVE-2009-1873, CVE-2009-1874, CVE-2009-1875, CVE-2009-1876, CVE-2009-1877, CVE-2009-1878
Plataforma: todas las plataformas
Se han identificado vulnerabilidades graves en ColdFusion v8.0.1 y en versiones anteriores, y en JRun 4.0. Estas vulnerabilidades podrían comprometer potencialmente las cuentas de usuario o los sistemas afectados.
ColdFusion 8.0.1 y versiones anteriores
JRun 4.0
Adobe recomienda que los clientes afectados de ColdFusion y JRun actualicen sus instalaciones utilizando los enlaces que aparecen en la siguiente sección Detalles.
Adobe los define como problemas importantes y recomienda a los usuarios afectados que realicen las instalaciones de parches.
Se han identificado vulnerabilidades graves en ColdFusion v8.0.1 y en versiones anteriores, y en JRun 4.0. Estas vulnerabilidades podrían comprometer potencialmente las cuentas de usuario o los sistemas afectados.
Una actualización de ColdFusion resuelve una vulnerabilidad de ataques de secuencias de comandos en varios sitios web que potencialmente podría conducir a una ejecución de código (CVE-2009-1872).
Una actualización de ColdFusion resuelve una vulnerabilidad de ataques de secuencias de comandos en varios sitios web que potencialmente podría conducir a una ejecución de código (CVE-2009-1877).
Los usuarios de ColdFusion pueden encontrar los enlaces adecuados para resolver CVE-2009-1872 y CVE-2009-1877 aquí:
• Instrucciones de instalación para CVE-2009-1872 y CVE-2009-1877*
• Revisión CVE-2009-1872 y CVE-2009-1877 para ColdFusion 7.0.2*
• Revisión CVE-2009-1872 y CVE-2009-1877 para ColdFusion 8*
• Revisión CVE-2009-1872 y CVE-2009-1877 para ColdFusion 8.0.1*
Una actualización de JRun soluciona una vulnerabilidad transversal del directorio de la consola de gestión que podría potencialmente dar lugar a una divulgación de información (CVE-2009-1873).
Una actualización de JRun soluciona varias vulnerabilidades de ataques de secuencias de comandos en varios sitios web de la consola de gestión que podrían potencialmente dar lugar a una ejecución de código (CVE-2009-1874).
Los usuarios de JRun 4 Updater 6 y Updater 7 pueden encontrar los enlaces adecuados para solucionar CVE-2009-1873 y CVE-2009-1874 aquí:
• Instrucciones de instalación para CVE-2009-1873 y CVE-2009-1874*
• Revisión de CVE-2009-1873 y CVE-2009-1874 para JRun 4.0*
Adobe recomienda que todos los usuarios de JRun Updater 5 y de versiones anteriores se actualicen a la versión más nueva JRun Updater 7* y que apliquen la solución anterior.
Una actualización de ColdFusion resuelve varias vulnerabilidades de ataques de secuencia de comandos en varios sitios web que podrían potencialmente dar lugar a una ejecución de código (CVE-2009-1875).
Los usuarios de ColdFusion pueden encontrar los enlaces adecuados para solucionar CVE-2009-1875 aquí:
• Instrucciones de instalación para CVE-2009-1875*
• Revisión de CVE-2009-1875 para ColdFusion 7.0.2*, y revisión de hf702-1875.jar para ColdFusion 7.0.2*
• Revisión de CVE-2009-1875 para ColdFusion 8*, y revisión de hf800-1875.jar para ColdFusion 8*
• Revisión de CVE-2009-1875 para ColdFusion 8.0.1*, y revisión de hf801-1875.jar para ColdFusion 8.0.1*
Una actualización de ColdFusion soluciona una vulnerabilidad de carácter nulo de doble codificación que podría potencialmente dar lugar a una divulgación de información (CVE-2009-1876). Esta actualización sólo se debería aplicar a las instalaciones de ColdFusion que se hayan configurado con Apache.
Los usuarios de ColdFusion 8.0.1, 8.0 y 7.0.2 pueden encontrar los enlaces adecuados para solucionar CVE-2009-1876 aquí:
• Instrucciones de instalación para CVE-2009-1876*
• Revisión de CVE-2009-1876 para ColdFusion*
Una actualización de ColdFusion soluciona una vulnerabilidad de fijación de sesión que podría potencialmente dar lugar a una ampliación de privilegios (CVE-2009-1878).
Los usuarios de ColdFusion pueden encontrar los enlaces adecuados para solucionar CVE-2009-1878 aquí:
• Instrucciones de instalación para CVE-2009-1878*
• Revisión de CVE-2009-1878 hf702-1878.jar para ColdFusion 7.0.2*
• Revisión de CVE-2009-1878 hf800-1878.jar para ColdFusion 8*
• Revisión de CVE-2009-1878 hf801-1878.jar para ColdFusion 8.0.1*
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar de estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger la seguridad de nuestros clientes.
28 de agosto de 2009: Boletín actualizado con información adicional relativa a CVE-2009-1873, CVE-2009-1874 y CVE-2009-1876.
21 de agosto de 2009: Boletín actualizado con información adicional relativa a CVE-2009-1876.
17 de agosto de 2009: Creación del boletín.
Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"), usted acepta los siguientes términos y condiciones. Si no está de acuerdo con los siguientes términos y condiciones, no utilice el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos presentados a continuación.
La exportación y reexportación de productos de software Adobe están controladas por las leyes de exportación de los Estados Unidos y dicho software no debe exportarse ni reexportarse a Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo. Además, el software Adobe no debe distribuirse entre personas de la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.
Al descargar o utilizar un producto de software de Adobe, usted certifica que no es ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo y que no es una de las personas de la tabla de denegación de pedidos, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarlo con un producto de software de una aplicación (la "aplicación del host") publicado por Adobe, Adobe le garantiza una licencia no exclusiva para utilizar dicho software sólo con la aplicación del host, siempre que posea una licencia válida de Adobe para la aplicación del host. Excepto si, como se establece a continuación, se le otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.
RENUNCIA A LAS GARANTÍAS: USTED ACEPTA QUE ADOBE NO LE HA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE LE PROPORCIONA EL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUYENDO, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIABILIDAD, LA CALIDAD DE COMERCIABILIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no sean aplicables a usted.
LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ÉSTE SE INCLUYA EN EL CONTRATO, EN EL DAÑO LEGAL (INCLUIDA LA NEGLIGENCIA), EN LA ESTRICTA RESPONSABILIDAD DEL PRODUCTO U OTROS, INCLUSO AUNQUE ADOBE HAYA SIDO ADVERTIDO DE LA POSIBILIDAD DE QUE SE PRODUZCAN TALES DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no sean aplicables a usted.
