Af Torben B. Sørensen, 26/04/17
Adobe har udsendt hotfixes til ColdFusion, der lukker to sikkerhedshuller.
Den ene sårbarhed ligger i Apache BlazeDS. Den er relateret til deserialization i Java.
Den anden sårbarhed består i manglende inputvalidering, der kan udnyttes i cross-site scripting-angreb.
Fejlene er rettet i disse versioner:
- ColdFusion (2016 release) update 4
- ColdFusion 11 update 12
- ColdFusion 10 update 23
Adobe betegner begge sårbarheder som vigtige, men ikke kritiske.
Anbefaling
Opdater ColdFusion.
Links
- Security Update: Hotfixes available for ColdFusion
- ColdFusion Hotfix Resolves XSS, Java Deserialization Bugs, artikel fra Kaspersky Threatpost
- AMF3-biblioteker til Java er sårbare, DKCERT, 7-4-2017