Adobe Coldfusion gibt Admin-Passwort preis

Der Sicherheitsexperte Adrian P. weist auf eine Sicherheitslücke in Adobes Web-Anwendung Coldfusion hin, die der Hersteller zu unterschätzen scheint. Adobe selbst stuft die Schwachstelle als "wichtig" ein. Adrian P. argumentiert in einem Blogeintrag, dass diese Einordnung der Gefährlichkeit der Schwachstelle nicht gerecht werde, da sie potenziell viele Webserver betreffe, die in der Gefahr stünden, von Angreifern komplett übernommen zu werden. Die Attacke wird als "Directory Traversal" oder "Arbitrary File Retrieval" bezeichnet. Dabei gelingt es einem Angreifer, ein Skript, das auf dem Server läuft, so zu überlisten, dass es die Inhalte einer Datei anzeigt, der laut Konfiguration für Außenstehende nicht sichtbar sein sollte. Der Angreifer erhält über die Sicherheitslücke in Coldfusion auch Zugang zum Admin-Passwort des Coldfusion-Servers - je nachdem, wie der Server konfiguriert ist, kann dieses auch im Klartext abgelegt sein. Selbst die verschlüsselte Version des Passwortes lässt sich dem Experten zufolge mit einfachen Tools knacken. Im schlimmsten Fall erhält ein Hacker über den Coldfusion-Admin-Account auch Zugang zum darunterliegenden Betriebssystem. Wie der Angriff im Einzelnen funktioniert, beschreibt der Experte im Blog-Eintrag. Auch der Exploit-Code, der die Sicherheitslücke ausnutzbar macht, ist inzwischen im Internet verfügbar.

Adobe hat einen Patch zur Verfügung gestellt, der das Sicherheitsproblem behebt. Wer einen Coldfusion-Server betreibt, sollte das Programm schnellstmöglich aktualisieren.