S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 juillet 2003
N° CERTA-2003-AVI-107
Affaire suivie par: CERT-FR
le 11 juillet 2003

Avis du CERT-FR

Objet: Vulnérabilité de Macromedia ColdFusion MX et Macromedia JRun 4.0

Gestion du document

Référence CERTA-2003-AVI-107
Titre Vulnérabilité de Macromedia ColdFusion MX et Macromedia JRun 4.0
Date de la première version 11 juillet 2003
Date de la dernière version 11 juillet 2003
Source(s) Avis de sécurité Macromedia du 8 juillet 2003
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Divulgation d'informations ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Macromedia ColdFusion MX (Standard Edition) ;
  • Macromedia ColdFusion MX for J2EE (JRun) ;
  • Macromedia JRun 4.0.

Résumé

Une vulnérabilité dans les produits Macromedia ColdFusion MX et JRun 4.0 permet à un utilisateur mal intentionné d'avoir accès au code source des pages web.

Description

Macromedia ColdFusion MX est un produit intégré de développement web. Macromedia JRun permet le déploiement d'applications Java (infrastructure J2EE). Il est utilisé avec un serveur web tel Apache ou Microsoft IIS. Une vulnérabilité dans la gestion des URL permet à un utilisateur mal intentionné d'accéder au code source des pages web d'extension ".cfm", ".cfc", ".cfml" (pour ColdFusion MX) et ".jsp" (pour JRun).

Solution

Appliquer le correctif fournit par Macromedia : 

http://download.macromedia.com/pub/security/mpsb03-04.zip

Documentation

Bulletin de sécurité de Macromedia : 

http://www.macromedia.com/devnet/security/security_zone/mpsb03-04.html

Gestion détaillée du document

    le 11 juillet 2003
    version initiale.