Fecha de lanzamiento: 15 de enero de 2013
Última actualización: 16 de enero de 2013
Identificador de vulnerabilidad: APSB13-03
Prioridad: 1
Número CVE: CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, CVE-2013-0632
Plataforma: Todas
Adobe ha lanzado una revisión de seguridad para ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX. Esta revisión soluciona vulnerabilidades que podrían permitir a un usuario no autorizado sortear los controles de autenticación de forma remota, lo que podría hacer que el atacante se hiciese con el control del servidor afectado.
Adobe tiene conocimiento de informes que concluyen que cuatro vulnerabilidades (CVE-2013-0625, CVE-2013-0629, CVE-2013-0631 y CVE-2013-0632, que aparecen en la Recomendación de seguridad APSA13-01) se aprovechan en su estado natural para atacar a clientes de ColdFusion. Adobe recomienda a los usuarios actualizar la instalación de su producto según las instrucciones que se indican en la sección "Solución" que aparece más adelante.
ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX
Adobe recomienda a los clientes de ColdFusion actualizar la instalación siguiendo las instrucciones que se proporcionan en esta nota técnica: http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-03.html.
Adobe categoriza esta revisión con la siguiente clasificación de prioridad y recomienda a los usuarios que actualicen su instalación a la versión más reciente:
Producto |
Versión actualizada |
Plataforma |
Clasificación de prioridad |
|---|---|---|---|
| ColdFusion | 10, 9.0.2, 9.0.1, 9.0 | Windows, Macintosh y UNIX | 1 |
Esta revisión soluciona vulnerabilidades graves del software.
Adobe ha lanzado una revisión de seguridad para ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX. Esta revisión soluciona vulnerabilidades que podrían permitir a un usuario no autorizado sortear los controles de autenticación de forma remota, lo que podría hacer que el atacante se hiciese con el control del servidor afectado.
Adobe tiene conocimiento de informes que concluyen que cuatro vulnerabilidades (CVE-2013-0625, CVE-2013-0629, CVE-2013-0631 y CVE-2013-0632, que aparecen en la Recomendación de seguridad APSA13-01) se aprovechan en su estado natural para atacar a clientes de ColdFusion. Adobe recomienda a los usuarios actualizar la instalación de su producto según las instrucciones que se indican en la sección "Solución" que aparece con anterioridad.
Esta revisión soluciona una vulnerabilidad de evasión de autenticación que afecta a las versiones 9.0.2, 9.0.1 y 9.0.0 de ColdFusion y que podría permitirle a un usuario no autorizado obtener acceso de administrador (CVE-2013-0625).
Esta revisión soluciona una vulnerabilidad de acceso a directorios que afecta a las versiones 10, 9.0.2, 9.0.1 y 9.0.0 de ColdFusion y que podría permitirle a un usuario no autorizado acceder a directorios restringidos (CVE-2013-0629).
Esta revisión soluciona una vulnerabilidad que afecta a las versiones 9.0.2, 9.0.1 y 9.0.0 de ColdFusion y que podría provocar una divulgación de información desde un servidor afectado (CVE-2013-0631).
Esta revisión soluciona una vulnerabilidad de evasión de autenticación que afecta a las versiones 10, 9.0.2, 9.0.1 y 9.0.0 de ColdFusion y que podría permitirle a un usuario no autorizado obtener acceso de administrador (CVE-2013-0632).
Adobe desea agradecer a las siguientes personas por informar de manera responsable de problemas importantes y por su colaboración con Adobe para ayudarnos a proteger a nuestros clientes:
16 de enero de 2013: Reconocimiento añadido a CVE-2013-0631 y CVE-2013-0632
15 de enero de 2013: Publicación del boletín
Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"), aceptas los siguientes términos y condiciones. Si no estás de acuerdo con los siguientes términos y condiciones, no utilices el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos que se presentan a continuación.
La exportación y reexportación de productos de software de Adobe están controladas por la normativa de exportación de los Estados Unidos y el software no debe exportarse ni reexportarse a Corea del Norte, Cuba, Irán, Iraq, Libia, Siria, Sudán o cualquier país al que los Estados Unidos someta a embargo. Además, el software de Adobe no debe distribuirse entre las personas que figuren en la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.
Al descargar o utilizar un producto de software de Adobe, certificas que no eres ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que los Estados Unidos someta a embargo y que no eres una de las personas de la tabla de denegación de pedidos, de la lista de entidades ni de la lista de ciudadanos designados especialmente. Si el software está diseñado para utilizarse con un producto de software de aplicación (la "aplicación principal") publicado por Adobe, Adobe te concederá una licencia no exclusiva para utilizar dicho software solo con la aplicación principal, siempre y cuando poseas una licencia válida de Adobe para dicha aplicación principal. Excepto en los casos que se establecen a continuación, se te otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.
RENUNCIA A LAS GARANTÍAS: ACEPTAS QUE ADOBE NO TE HAYA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE TE HAGA ENTREGA DEL SOFTWARE "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUSO, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIABILIDAD, LA CALIDAD DE COMERCIABILIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no se te apliquen.
LIMITACIÓN DE RESPONSABILIDAD: EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), INDEPENDIENTEMENTE DEL MODO DE ACTUACIÓN Y DE QUE ESTE SE INCLUYA EN EL CONTRATO, EN EL DAÑO LEGAL (INCLUIDA LA NEGLIGENCIA), EN LA ESTRICTA RESPONSABILIDAD DEL PRODUCTO U OTROS, INCLUSO SI ADOBE FUE AVISADO DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no se te apliquen.
