Novos security bulletins para Jrun/CF

Agora pouco a Adobe/Macromedia soltou alguns boletins de segurança para os produtos JRun 4 e CFMX (versões 6.1 e 7.0) que não foram divulgadas nos feed aggregators tradicionais (por alguma razão desconhecida), que porém são importantes serem conhecidos, especialmente o que requer um hotfix específico (além da recomendação de se instalar os últimos updaters), que é o caso da versão 6.X (veja abaixo).

Os boletins são:

MPSB05-12 Sandbox Security and CFMAIL Vulnerability in ColdFusion MX 6.X
MPSB05-13 Cumulative Security Updater for JRun 4.0 server
MPSB05-14 Cumulative Security Updater for ColdFusion MX 7

Sendo que no último destes boletins, podemos ver a Adobe/Macromedia agradecendo ao nosso “réquer”, criptógrafo e garanhão mór do CFGIGOLÔ, o Fabio Terracini.

Adobe would like to thank the following individuals for reporting the vulnerabilities listed in this bulletin and for working with us to help protect our customers’ security.

Russ Michaels – JRun Clustered Sandbox Security Vulnerability.
Mike Nicholls – CFMAIL injection Vulnerability
Andy Allan – CFOBJECT Sandbox Security Vulnerability
Fabio Terracini – Administrator Hash Exposure Vulnerability

É sempre bom saber que os brasileiros podem ser ouvidos pela “nave mãe”. Parabéns pela menção garanhão! Ah, e por favor… deixe meus servidores em paz!! 😉

IMPORTANTE: quem estiver rodando CFMX 7.01 e JRun 4 com o updater 6 instalado não está vulnerável à nenhum dos problemas relatados, sendo que a recomendação da Adobe/MM é justamente instalar estas últimas atualizações. Agora, se você está rodando o CFMX 6.1, você vai precisar instalar um hotfix disponível no boletim acima.


2 Comments on “Novos security bulletins para Jrun/CF”

  1. Obrigado pela menção Alex!

    O mais importante nisso tudo é ver que a equipe técnica do CF realmente se preocupou com a vulnerabilidade, e inclusive entraram em contato para colherem mais informações e trocarmos idéias.

    Quanto ao seus servidores, eu preciso de um servidor configurado decentemente (como os seus) para testar essas “brincadeiras”, não é mesmo? 🙂

    Tudo por um bem maior, é claro.

  2. Fernando da Silva Trevisan disse:

    Vale a pena citar o John Dowdell:

    http://weblogs.macromedia.com/jd/archives/2005/12/security_update.cfm

    Que lista locais e meios de saber das atualizações rapidamente. Imprescindível, eu acho.

    [ ]’s!