SECURITY PATCHES para CFMX

A Macromedia acaba de lançar dois security patches para o CFMX 6.1. O primeiro (apenas versão Enterprise), importantíssimo para quem oferece CFMX ambiente compartilhado. Coincidência (ou não ;-)) esta semana estamos falando exatamente sobre isso aqui no CFGIGOLÔ. O patch corrige uma falha que permite, de forma limitada (mesmo assim perigosa), se instanciar objetos Java sem usar a tag “desabilitável” cfobject e a função CreateObject() através de java reflection.

O segundo protege o servidor contra ataques de negação de serviço que poderiam ocorrer caso um usuário submetesse um volume muito grande de dados via formulários que necessitassem de validação

IMPORTANTE: ambos patches já estão incluídos em um pacote de hotfixes que o CFGIGOLÔ disponibilizou para download.

E é sempre bom lembrar: cadastre-se para receber notificações de segurança importantes sobre produtos da Macromedia.


Finalmente alguém me ouviu!

Em novembro passado o pessoal da Macromedia BR entrou em contato comigo sobre um possível bug com a tag CFFTP em ambiente sandboxeado. Na ocasião fiz um post detalhado sobre este (não documentado até então), propondo também um workaround. Desde então venho enchendo a paciência do pessoal da MM Inc sobre o assunto e ontem, finalmente, recebi uma confirmação positiva por parte do Chris Cantrell, o community manager da MM para servidores. Antes de escrever para ele usei o bug report, acionei o suporte (não pago), support forums, lista CF-Talk e outros locais bem frequentados… Vê-se que o trabalho do community manager é bastante abrangente e eficaz. Ainda bem! 😉

—–Mensagem original—–
De: Christian Cantrell [mailto:cantrell@macromedia.com]
Enviada em: quarta-feira, 28 de janeiro de 2004 02:58
Para: Alex Hubner
Assunto: Re: CFFTP

Hi, Alex. I just heard that QA did confirm this and it is has been entered into the bug base as #54053. It is scheduled to be fixed in the next release.

Thanks for bringing this to our attention.

Christian


Pechincha!

Tudo bem que já estamos na versão MX do ColdFusion, porém vale dar o toque. O melhor livro de ColdFusion 5 (lembre-se que CFML é uma linguagem, portanto o livro serve para você que usa CFMX) na minha opinião está a venda na livraria Tempo Real por apenas R$ 45,00. Como já tenho não preciso comprá-lo, mas confesso que o preço está ótimo, mesmo para uma versão antiga do CF pois o livro é realmente muito bom:

Professional ColdFusion 5.0


ColdFusion administrator, de novo!

Há algum tempo fiz um post falando do problema dos provedores nacionais que estavam se esquecendo de proteger a interface do ColdFusion Administrator. Bem, ao que parece muitos já tomaram as medidas necessárias para corrigir a situação, mas outros ainda continuam na mesma. Verifique você mesmo na pequena lista disponível no post.

Gostaria de destacar a rápida atenção e atuação do pessoal da DW Provedor de Internet – http://www.dwws.com.br, na pessoa do seu gerente executivo, João de Sousa. Este se mostrou preocupado em resover o problema rapidamente, demonstrando profissionalismo e seriedade que tanto precisamos hoje em dia. Destaque também para o pessoal da WebGeo, que atualmente (e temporariamente) não está aceitando novas contas justamente por primar pela qualidade da hospedagem CF oferecida por eles. Giovane Heleno, da WebGeo, promete novidades em breve. Vamos aguardar.


CFMX Sandbox Security para ambientes compartilhados

Durante este final de semana terminei de escrever um pequeno tutorial sobre como criar e quais são as configurações que recomendo para sandbox security em ColdFusion MX. Trata-se de uma “receita de bolo” que espero seja útil para quem oferece hospedagem compartilhada de ColdFusion MX.

CFMX Sandbox Security para ambientes compartilhados

Também disponível em formato PDF, 170K clicando aqui.

UPDATE: acrescentei algums comentários sobre a necessidade de se armazenar variáveis de cliente em banco de dados ao invés das opções padrões disponíveis (cookies e registry) e sua relação com a sugestão de desabilitar a tag CFREGISTRY.

UPDATE2: já existe uma versão deste tutorial atualizada para a versão 7 do ColdFusion Server. Acesse aqui.


Saiu a nova versão do Microsoft MBSA

A Microsoft anunciou o lançamento da nova versão 1.2 do Microsoft Baseline Security Analyzer (MBSA), ferramenta que identifica configurações incorretas ou desatualizadas e problemas de segurança no sistema operacional Windows e em vários aplicativos produzidos pela empresa. Com interface gráfica e de linha de comando, o MBSA roda em Windows 2000, XP e Server 2003 e busca erros comuns de configuração em programas e recursos importantes para quem utiliza Windows.

Confira: Microsoft Baseline Security Analyzer V1.2

[por infoguerra]


Segurança com Flash Remoting

Estive me aventurando a brincar com o Flash, mais especificamente com o Flash Remoting e claro, CFCs.

Sem grandes problemas, não foi nada complicado (mentira). Os componentes do Flash (que pelo que sei não são dos melhores. São grandes e pesados.) ajudam um bocado para quem não entende muito de Flash. Jogar os dados de uma query num datagrid é fácil como datagrid.dataProvider = recordSet.

Mas o que me intrigou e onde eu gastei um bom tempo foi pensando na segurança dos CFCs que o Flash, através do Remoting, irá contactar. Ora bolas, o que pode haver de tão complicado na segurança desses CFCs?

Leia o resto deste post »


NIC.class

Está rolando uma discussão na lista CF-Brasil sobre como se determinar o IP da máquina onde o CFMX está instalado (IP de uma ou mais placas de rede existentes no servidor), uma vez que os métodos usando CFML puro retornam apenas o IP interno ou de loopback. Ano passado Marcello FrutigCFUG-Rio propôs uma elegante solução usando um class Java que ele mesmo escreveu e que uso até hoje para atualizar um servidor DNS com IP’s dinâmicos (típicos de conexões ADSL ou DSL novas) via script CFML “schedulado”.

Porém no post do Frutig só existe o código fonte da classe, o que já seria mais do que suficiente. Porém, para encurtar o “caminho das pedras” (não tão pedregulhento assim, mas vá lá), segue um mini tutorial de como fazer a classe funcionar:

1) Faça download da class já compilada (NIC.class) aqui;
2) Disponibilize o arquivo NIC.class numa pasta qualquer (por exemplo cf_rootCustomTags);
3) Certifique-se de que esta pasta está especificada no campo “Class Path” da seção “Java and JVM” do ColdFusion Administrator. Caso não esteja, adicione-a (separe o nome das pastas por vírgulas) e reinicie o serviço do ColdFusion Application Server.

Pronto, você já estará apto a rodar um script CFML que irá retornar os valores dos IP’s na forma de uma array. Aqui costumamos chamar esta class (NIC.class) da seguinte forma:

nicclass.gif

Peque o fonte do script acima aqui.

A variável “ips” irá retornar um ou mais números de IP. Usando o script CFML acima, ou qualquer outra abordagem de manipulação, você pode eliminar IP’s que não queira (no nosso caso o IP de loopback e qualquer outro da rede interna) e manter os que desejamos.

IMPORTANTE: é necessário que o JVM usado pelo CFMX seja igual ou superior à versão 1.4.0 (Sun), o que já é por padrão na versão 6.1, porém não na 6.0.

Boa sorte!


Começou…

Era bom demais para ser verdade… Neste final de semana recebemos os primeiros dois comentários-spam da história do CFGIGOLÔ. Para quem não sabe, blogs agora são as novas vítimas desta raça sub-humana conhecida como spammers.

Para não deixar barato e tentar freiar os danados, acabo de instalar um plugin bastante interessante para o MT: MT-Blacklist. Ele já detectou e apagou os dois comentários infelizes. Vamos torcer para que não ocorram outros.


Uma Sun rodando Windows?!!

É o que parece. A Sun, eterna rival e crítica ferrenha da Microsoft, começará a certificar suas máquinas baseadas na arquitetura x86 para rodar o Windows!

Sun to Windows-certify x86 hardware

Já dizia o velho ditado: “o Sol nasce para todos…”