Java Locator

Paul Hastings, geólogo e desenvolvedor CF 😉 mostrou no seu site uma interessante maneira de se integrar ColdFusion com um executável Java chamado “Java IP (InetAddress) locator” que, através da consulta a uma tabela local (baseada no WHOIS das entidades ARIN, RIPE, APNIC e LACNIC), informa a região (país) de onde o acesso provém, baseado no IP do visitante da aplicação. Bastante interessante para determinar o conteúdo a ser mostrado e personalizar informações com base nesta informação geográfica.

Confira o exemplo e maiores informações (incluindo o link para o site do programa Java responsável) clicando aqui.


Bug em JVM pode travar CFMX

Um bug nas versões Java 2 anteriores à 1.4.1_02 (Sun) permite travar a JVM por meio de códigos maliciosos, gerando um DoS. A vulnerabilidade não está limitada às JVM da Sun, ocorre na da IBM e outras também.

Nós, usuários do ColdFusion Server MX, obviamente não estamos imunes a estes bugs e brechas de segurança da JVM. Ao que parece o bug afeta todas as instâncias rodando sob determinada JVM, ou seja, se você estiver rodando ColdFusion MX standalone, ColdFusion para J2EE (Jrun, WebSphere, etc), será afetado (e afetará) qualquer aplicação que dependa desta JVM. Abaixo um exemplo de cógido (extraído de uma mensagem de Doug White, na lista CF-Talk) que é capaz de travar o servidor (lembrando que o CFMX reinicia automaticamente, como default, logo após um crash tanto do JVM quanto do “servlet” CFMX):

<cfapplication name=”BHCFM” sessionmanagement=”yes”>
<cfobject action=”create” type=”Java” class=”java.lang.String” name=”s”>
<cfobject action=”create” type=”Java” class=”java.util.zip.CRC32″ name=”c”>
<cfset ret=s.init()>
<cfset ret=c.init()>
<cfset str = s.getBytes()
<cfset retval = c.update(str,2147483647,4)>

Até o momento a única solução é instalar o mais novo JVM da Sun (1.4.1_02), que não é afetado por este bug (lembrar que o CFMX Standalone vêm, como padrão, com a JVM Sun 1.3.1_03 instalada).

Maiores informações podem ser obtidas em:

http://www.securiteam.com/securitynews/5DP0Q0U9GO.html