Secunia divulga: Macromedia ColdFusion Error Page Cross-Site Scripting

O site Secunia que monitora problemas com a segurança em mais de 4500 produtos (segundo o próprio site) informou ontem um problema no ColdFusion MX 7 que pode fazer com que um hacker utilize a técnica de Cross-Site Scripting. O mesmo tb informa que a Macromedia confirmou o problema só que até agora não encontrei nada no site de anuncios de segurança ou nos blogs da Macromedia que informe a veracidade desse problema de segurança. Também não consegui reproduzi-lo baseado no exemplo informado pela Secunia.


4 Comments on “Secunia divulga: Macromedia ColdFusion Error Page Cross-Site Scripting”

  1. Alex Hubner disse:

    O workaround por enquanto é direcionar os erros do tipo 404 para uma página personalizada. Isso pode ser feito tanto via IIS na opção (check that file exists) quanto pelo CFAdministrator na opção “Missing Template Handler”.

  2. Emanuel disse:

    Alex, mas vc conseguiu reproduzir o problema ou sabe se a MM reconheceu realmente o problema?!

  3. Alex Hubner disse:

    Não, mas também não tentei. Estes problemas de XSS com as mensagens de erro do CF são relativamente recorrentes. Já tivemos isso na versão 6.1, vide: http://secunia.com/advisories/9807/. São vulnerabilidades não críticas e podem ser mitigadas/excluídas se você seguir algumas práticas de segurança consagradas. Pelo que eu saiba a MM não confirmou/divulgou nada ainda, mas quando o fizer, provavelmente vai propor um workaround, que já devia ser implementado bem antes de qualquer vulnerabilidade, explico:

    É recomendado que você *não* deixe o CFserver (um servidor de aplicação e não um webserver) responder eventos HTTP tais como o 404 e afins. Como servidor de aplicação o CF deve processar scripts e passá-los ao webserver, nada além disso. Quem tem que responder o visitante com o status HTTP correspondende (200 para ok, 404 para notfound, 500 para erros e afins) é o webserver. Isso é mencionado em vários lugares, inclusive por mim numa apresentação – http://www.cfugsp.com.br/files/cfmx_tunning_rio.zip – sobre performance de CFMX 6.0 que fiz para o CFUG-Rio em 2003. Em linhas gerais você deve configurar o seu webserver (IIS, Apache, whatever) para assumir isso. No IIS através da opção “check that file exists” no master properties (ou individualmente) do IIS. Não saberia dizer de cabeça para o Apache, por exemplo, mas basta consultar a documentação dos respectivos produtos.

    Por falar nisso, tem um visitante resmungando sobre aquele post do “PHP tem falhas de segurança” – http://www.cfgigolo.com/archives/2005/04/php_tem_falhas.html – e ele menciona essa vulnerabilidade como se fosse a coisa mais absurda do mundo… É sempre divertido encontrar uns figurinhas como este por aqui.

  4. Sem contar que isso tem é cara de má configuração pelo administrador.

    Não é para o ColdFusion Server ser responsável por erros 404; isso é coisa de web server, como o Alex bem disse.