Coldfusion : l'insécurité par l'exemple

Les versions 2 x, 3 x, 4 x pour Windows, Solaris, HP-UX et Linux du serveur d'applications ColdFusion de Macromedia présentent des failles de sécurité. Ces dernières permettent à un attaquant d'exécuter des instructions sur le serveur avec des privilèges de haut niveau ( utilisateur autorisé ). Ces failles ne concernent pas la version 5.0 de ColdFusion, lancée il y a quelques mois.Selon Internet Security Systems ( éditeur et société de conseil en sécurité ), qui les a mises en évidence, ces failles sont dues aux exemples d'applications fournis par l'éditeur pour faciliter l'apprentissage sur sa plate-forme. Deux de ces exemples, situés dans le répertoire /CFDOCS/exampleapps, sont vulnérables : " Web Publish Example Script " et " Email Example Script ". L'attaquant s'y connecte par un navigateur.

Une sécurisation mal conçue

L'accès à ces exemples d'application est sécurisé par examen de la source de la requête, qui doit être effectuée soit en local ( localhost ), soit depuis l'adresse IP 127.0.0.1 . Pour leurrer ce mécanisme de sécurité, il suffit de maquiller la source de la requête en lui donnant l'une de ces deux valeurs.Une fois entré dans les répertoires fautifs, l'attaquant se trouve dans un environnement de script CGI (Common Gateway Interface), il peut exécuter le code qui s'y trouve, lister tous les fichiers présents sur le serveur, ou créer un code de son invention.

Macromedia conseille de supprimer les fichiers incriminés

Macromedia fait savoir qu'il n'y aurait pas de correctif destiné à supprimer ces failles. En effet, l'éditeur préconisait depuis plusieurs mois à ses clients de supprimer tous les exemples d'application, ainsi que la documentation associée des serveurs de production, et de ne les conserver que sur les serveurs de développement, avec un dispositif de restriction des droits d'accès. Le répertoire à détruire se nomme CFDOCS, et se trouve sur la racine du serveur. Comme c'est une option, il n'est pas présent par défaut à linstallation de ColdFusion.