CFFILE Deny of Service HotFix
Publicado; 15/04/2004 Arquivado em: ColdFusion Comentários desativados em CFFILE Deny of Service HotFixSaindo do forno mais um hotfix de segurança para o CFMX 6.1. Desta vez trata-se de uma correção contra possíveis ataques do tipo DoS (Deny of Service) provocado pelo uso da tag CFFILE (upload). Ao que parece, se algum usuário (bem intencionado ou não) ficar clicando de forma repetida no botão “upload/carregar” e logo em seguida no “stop” do browser ele poderá travar o serviço do CFMX. Fiz os testes e adianto: o “usuário” precisa ser muito rápido no gatilho para fazer o CFMX travar desta maneira manual, contudo um script mal intencionado facilmente mimetiza (em velocidade obviamente muito maior) este comportanto.
Correção indispensável se você oferece CFMX em ambiente compartilhado ou tem alguma aplicação aberta que faça uso do CFFILE. Lembre-se de que neste caso o script mimetizador não precisa estar dentro do seu servidor para afetá-lo (maioria dos casos de DoS – não confunda com DDoS!), ele pode gerar esta negação de qualquer lugar, fazendo submit com target/action na sua máquina.
Security Patch for ColdFusion MX 6.1 File Upload Denial of service
Como não poderia deixar de ser, este hotfix já está contemplado pelo “pacotão de hotfixes” do CFGIGOLO.