Últimas sobre Informática » Exportações de produtos de informática supera US$ 100 bilhões » Acusado de matar por comentário em site é solto » Polícia investiga pornografia infantil no MS » 35% dos softwares no mundo são piratas, diz estudo Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Faça sua pesquisa na Internet:

De acordo com o boletim MPSB04-09, divulgado pela Macromedia, duas novas falhas também foram encontradas nas versões ColdFusion MX 6.0, 6.1 e 6.1 J2EE ¿ JRun.

Uma das vulnerabilidades no servidor JRun pode ser explorada para ludibriar o sistema e evitar restrições de acesso, mostrando o código-fonte de arquivos que não estejam associados com as extensões Macromedia, como .php, .asp e .pl. Para isso, bastaria adicionar ";.cfm" ao final do endereço do arquivo. O problema afeta apenas sistemas instalados no servidor Microsoft IIS e já havia sido comprovado na versão 4.0.

A segunda vulnerabilidade se refere a um estouro de memória (buffer overflow) quando os conectores Web do JRun estão em modo "verbose", que serve para depurar a comunicação com o servidor. Todos os conectores, plataformas e versões são afetados. O modo "verbose" está desativado na configuração padrão do servidor. O problema também afeta as versões 3.0, 3.1, e 4.0 do ColdFusion MX. Correções para estas versões foram incluídas no pacote.

Conforme outro boletim, o MPSB04-08, um erro de execução no gerenciamento e manipulação do identificador de sessão JSESSIONID pode ser explorado para seqüestrar a sessão de um usuário autenticado. Esta vulnerabilidade afeta a versão JRun 4.0.

Outra vulnerabilidade no gerenciamento do JRun 4.0 pode ser explorada para um ataque do tipo Cross Site Scripting, capaz de levar um usuário a acreditar que um falso site acessado é verdadeiro.

A Macromedia recomenda que as correções sejam aplicadas imediatamente.