Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 mai 2013

N° CERTA-2013-ALE-004

Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Adobe ColdFusion

Gestion du document

Référence	CERTA-2013-ALE-004
Titre	Vulnérabilité dans Adobe ColdFusion
Date de la première version	10 mai 2013
Date de la dernière version	15 mai 2013
Source(s)	Bulletin de sécurité Adobe APSA13-03 du 08 mai 2013
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données

Systèmes affectés

ColdFusion 10
ColdFusion 9.0
ColdFusion 9.0.1
ColdFusion 9.0.2

Résumé

Une vulnérabilité a été découverte dans Adobe ColdFusion. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.

Cette vulnérabilité est activement exploitée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Adobe APSA13-03 du 08 mai 2013

http://www.adobe.com/support/security/advisories/apsa13-03.html

Avis de sécurité CERTA-2013-AVI-312

http://www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-312/

Bulletin de sécurité Adobe APSB13-13 du 14 mai 2013

http://www.adobe.com/support/security/bulletins/apsb13-13.html

Guide de durcissement Adobe ColdFusion 10:

http://wwwimages.adobe.com/www.adobe.com/content/dam/Adobe/en/products/coldfusion-enterprise/pdf/CF10%20Lockdown%20Guide.pdf

Guide de durcissement Adobe ColdFusion 9:

http://wwwimages.adobe.com/www.adobe.com/content/dam/Adobe/en/products/coldfusion/pdfs/91025512-cf9-lockdownguide-wp-ue.pdf

Référence CVE CVE-2013-3336

https://www.cve.org/CVERecord?id=CVE-2013-3336

Gestion détaillée du document

le 10 mai 2013: version initiale ;
le 15 mai 2013: fermeture de l'alerte, suite à la diffusion du correctif par l'éditeur.