O security bulletin que eu não entendi…

A Macromedia lançou no começo desta tarde dois Security Bulletins envolvendo o ColdFusion MX (todas as versões) e o JRun (todas as versões). Eu resolvi esperar um pouco para postar pois sinceramente não entendi ambos.

No contexto em que foram apresentados: “This is a cumulative patch for JRun…” e “This is a cumulative security patch for ColdFusion MX…” com links para updaters destes dois produtos, não fazem o menor sentido… Alguém por acaso encontrou algum “cumulative patch” mencionado em ambos bulletins?

Posso estar cego ou louco, mas eu não encontrei… Encontrei apenas links para o download do Updater 4 do JRun 4 e do Updater 1 do CFMX 6.1, ambos anunciados há um certo tempo, inclusive aqui no CFGIGOLO (veja os links).

A vulnerabilidade foi retratada (leia mais abaixo), mas em nenhum lugar existe informação explicita, “idiot-proof” sobre como corrigí-la (como é de se esperar e de costume), a não ser um link para o download dos updaters (CFMX e JRun). E justamente aí que me perdi: afinal, os updaters são security patchs ou vice-versa? Ambos updaters são anteriores aos security bulletins, e um security bulletin só tem razão de existir quando ainda não existe correção/proteção para o dito cujo na forma de um updater, service pack, whatever. Isso é prática em qualquer empresa de software e também era prática na Macromedia (pelo menos até hoje). Por que raios a Macromedia resolveu lançar um “security bulletin” que, apesar do que diz o início do texto, não contém nenhum patch de correção, quando a correção para ambos já existe (na forma de um updater)? Será que o número de downloads dos updaters tem sido baixo e eles resolveram espalhar um pouco de terror (no melhor estilo “tiros em columbine”) para que mais pessoas baixassem os ditos cujos?

É mais um reflexo de algo que sempre digo e critico: a Macromedia tem um péssimo site de suporte…

Para entender a vulnerabilidade anunciada: ela só diz respeito a servidores ColdFusion MX e JRun que tiveram um setting específico do connector para o servidor web (IIS, Apache, etc) modificado. Se você por um acaso habilitou o modo “verbose” para fazer um debug mais detalhado (grampo telefônico!) das transações entre webserver e Jrun enginee pode estar suscetível a revelar o código fonte de scripts de outras tecnologias (como ASP e PHP) que por acaso estejam presentes no mesmo website… Este cenário deve ser encontrado em um ou dois clientes no mundo inteiro… 😉

Em resumo:

1) Procure no seu servidor o arquivo chamado “jrun.ini” (ou “jrun_iis6_wildcard.ini” no IIS6) para IIS, “obj.conf” para Netscape, iPlanet e conjugados e o “http.conf” no Apache;
2) Abra-o no bloco de notas (ou qualquer coisa parecida) e veja se o atributo “verbose” está setado como “false” (“verbose=false” e “JRunConfig Verbose false” para Apache);
3) Se estiver em “false” (o que muito provavelmente deverá estar), você não será afetado pela vulnerabilidade;
4) Se estiver em “true”, troque para “false”, salve o arquivo, reinicie o CFMX e também o seu servidor web. Leia novamente o ítem 3 acima. 😉