Coldfusion : l'insécurité par l'exemple
Utilisateurs de ColdFusion, pensez à retirer de votre serveur de production les exemples d'applications fournis par Macromedia. Faute de quoi, un pirate risque de faire des ravages sur votre site.
Les versions 2 x, 3 x, 4 x pour Windows, Solaris, HP-UX et Linux du serveur d'applications ColdFusion de Macromedia présentent des failles de sécurité. Ces dernières permettent à un attaquant d'exécuter des instructions sur le serveur avec des privilèges de haut niveau ( utilisateur autorisé ). Ces failles ne concernent pas la version 5.0 de ColdFusion, lancée il y a quelques mois.Selon Internet Security Systems ( éditeur et société de conseil en sécurité ), qui les a mises en évidence, ces failles sont dues aux exemples d'applications fournis par l'éditeur pour faciliter l'apprentissage sur sa plate-forme. Deux de ces exemples, situés dans le répertoire /CFDOCS/exampleapps, sont vulnérables : " Web Publish Example Script " et " Email Example Script ". L'attaquant s'y connecte par un navigateur.