Varias vulnerabilidades en productos Adobe

15/10/2006 - 18:14 por Malke | Informe spam
Adobe ha publicado varios boletines de seguridad y contramedidas
relativas a sus productos. Los problemas encontrados permiten la
escalada de privilegios, el acceso o información sensible y afectan
a tres de sus aplicaciones.

Se ha detectado un problema de seguridad en Adobe Breeze Licensed Server
que permite a usuarios ver ficheros en el sistema víctima. El problema
se basa en que el software no valida correctamente la entrada URL
proporcionada por el usuario. A través de una petición especialmente
formada un atacante podría visualizar ficheros arbitrarios. Sólo la
rama 5.x del producto se ve afectada.

Se ha detectado otro problema de seguridad en Adobe Contribute
Publishing Server que permite a un atacante local obtener la contraseña
de administrador.

El fallo se debe a que los logs generados durante la instalación del
producto, escriben la contraseña en texto claro. Un atacante local
podría tener acceso a estos datos y obtener la contraseña de
administrador establecida durante la instalación del producto. Para
solventar el problema, Adobe recomienda modificar la contraseña de
administrador establecida durante la instalación, o bien borrar los
archivos de registro generados durante la instalación. Los parches
están disponibles desde la página del boletín.

Por último, se ha encontrado una vulnerabilidad en Adobe ColdFusion. Un
atacante local podría obtener privilegios de Local System en el sistema
afectado.

El fallo se debe a un problema en una librería de terceros (Verity
Library) que permite ejecutar código arbitrario con privilegios de Local
System. Las versiones afectadas son ColdFusion MX 7, ColdFusion MX
7.0.1, y ColdFusion MX 7.0.2.

Según plataforma, los parches están disponibles desde:
http://download.macromedia.com/pub/...indows.zip
http://download.macromedia.com/pub/...ris.tar.gz
http://download.macromedia.com/pub/...nux.tar.gz

También es posible deshabilitar la librería afectada.

En todos los casos, se recomienda seguir las instrucciones del fabricante.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2909/comentar

Más Información:

Patch available for Breeze 5 Licensed Server Information Disclosure:
http://www.adobe.com/support/securi...06-16.html

Patch available for ColdFusion MX 7 local privilege escalation:
http://www.adobe.com/support/securi...06-17.html

Workaround available for Contribute Publishing Server local information
disclosure:
http://www.adobe.com/support/securi...06-15.html

Laboratorio Hispasec
http://www.hispasec.com/unaaldia/2909

http://antitella.blogspot.com/ Jose Manuel Tella Llop
http://antitella.blogspot.com/ Jose Manuel Tella Llop
http://antitella.blogspot.com/ Jose Manuel Tella Llop
 

Leer las respuestas

#1 Malke
15/10/2006 - 19:54 | Informe spam
This is being mass-posted by a troll impersonating me. It is being
investigated. It appears to be a very sick person who hates an MVP
named Manual Llop, although since the person is so cowardly to do this
perhaps I crossed his/her path also. Such a sad and pathetic little
troll.

Malke
Elephant Boy Computers
www.elephantboycomputers.com
"Don't Panic!"
MS-MVP Windows - Shell/User

Preguntas similares