Exposición de información sensible en Macromedia ColdFusion MX 6

SeguridadVirus

Se ha descubierto un problema de seguridad en el Updater 1 de Macromedia ColdFusion MX 6.1 para JRun4 que puede ser explotada por usuarios maliciosos para acceder a información potencialmente sensible.

ColdFusion es un entorno de desarrollo de aplicaciones web que agrupa un lenguaje propio, herramientas visuales de desarrollo y un servidor de aplicaciones que funciona con muchos servidores web en plataformas como Windows, Linux y Solaris.

El problema es que el componente Updater 1 de ColdFusion MX para JRun4 crea un directorio /WEB-INF/cfclasses en la raíz del servidor web en vez de hacerlo en el directorio adecuado (en la raíz de la aplicación). En dicho directorio pone archivos java compilados (.class, descargables por usuarios finales) provenientes de otros .cfms y .cfcs.

La compañía recomienda los siguientes pasos para corregir el problema (configuración J2EE de ColdFusion MX 6.1 para JRun4):

1. Parar los servidores ColdFusion MX 6.1.

2. Instalar el ColdFusion MX 6.1 Updater. Si dicho componente ya había sido instalado, borrar el directorio /WEB-INF/ localizado en la raíz del servidor web.

3. Crear el directorio {jrun_root}/servers/cfusion/cfusion-ear/cfusion-war/WEB-INF/cfclasses

4. Arrancar de nuevo los servidores ColdFusion MX 6.1. Observar que cuando se llamen a los .cfms, los archivos .class se queden en dicho directorio.