AMF3

Adobe lukker huller i ColdFusion

Den ene sårbarhed ligger i Apache BlazeDS. Den er relateret til deserialization i Java.

Den anden sårbarhed består i manglende inputvalidering, der kan udnyttes i cross-site scripting-angreb.

Fejlene er rettet i disse versioner:

  • ColdFusion (2016 release) update 4
  • ColdFusion 11 update 12
  • ColdFusion 10 update 23

Adobe betegner begge sårbarheder som vigtige, men ikke kritiske.

Anbefaling

Opdater ColdFusion.

Dansk

VMware lukker AMF3-hul i vCenter Server

Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.

Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).

VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.

Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.

Dansk

AMF3-biblioteker til Java er sårbare

Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.

En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.

Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.

Dansk
Abonnér på RSS - AMF3