【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表 | ScanNetSecurity
2026.01.13(火)

【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表

◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

国際 海外情報
25 views
facebookLINE
◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

 サイトは、ColdFusionリクエストをColdFusion MXプロセスに受け渡す前にファイル許可を確認するようIISを構成する必要がある。これを怠ると、正式に認証されていないユーザーに対し、本来送信されるべきではないリクエストが送信される。


◆情報ソース:
・Macromedia Inc. (MPSB03-02), Jan. 30, 2003

◆キーワード:
 Macromedia: ColdFusion Server

◆分析:
 (iDEFENSE US) 多層フレームワークが使用され、満たされたリクエストを受け渡す必要のある段階が複数存在するため、ウェブベースのアプリケーションでのアクセス制御はますます複雑になっている。アクセス制御が適切に実装されていることを確認する。テスト用のユーザーアカウントを用いてセキュリティ設定を確認する。

◆検知方法:
 IISをウェブサーバーとして用いるWindowsプラットフォーム上の全バージョンのColdFusion MXでこの問題が確認されている。

◆暫定処置:
 以下の3つの作業を実行して、当該問題を解決する。

1. テンプレートファイルをチェックするようIISを設定する。

a. Properties、Home Directory、Configurationを選択する。
b. ファイル拡張子のCFMを選択し、Editを選択する。
c. Check File Existsチェックボックスにチェックマークを付けて、有効に設定する。
d. IISでファイル許可をチェックする必要のある他のColdFusion MXのファイル拡張子を全て選択する。また、以下の拡張子のCheck File Existsチェックボックスも有効に設定する。

・CFML
・DBM
・JSP (Enterprise版のみ)
・JSW (Enterprise版のみ)

2. CFMファイルを追加作成する。ColdFusion MXは、通常はファイルとして存在しない2つのテンプレートのパス名を使用する。IISはそのテンプレートファイルの存在を確認するため、これら2つのファイルを作成し、2番目のファイル用にCFIDEメインディレクトリを作成する。これら2つのファイルは空(長さがゼロ)のファイルの可能性がある。これらは、他のファイルと同様、NTFSファイル許可を使用する可能性がある。GraphData.cfmファイルはcfchartによって使用される。ide.cfmファイルはColdFusion MX Administrator、RDSによって使用される。デフォルトのIISウェブディレクトリが使用されている場合、これらのファイルは以下のロケーションにある。

・InetPubwwwrootCFIDEGraphData.cfm
・InetPubwwwrootCFIDEmainide.cfm

3. 欠落したテンプレートファイルを処理するようIISを構成する。ColdFusion MX AdministratorでMissing Template Handlerが指定されていない場合、この作業は不要である。IISはテンプレートファイルの存在をチェックすると、IISは、存在しないファイルに対するリクエストをColdFusion MXに受け渡す前にこれを認識し、報告する。ColdFusion MX AdministratorでMissing Template Handlerを指定すると、このMissing Template Handlerは実行されない。デフォルトのIISメッセージの代わりにColdFusion Missing Template Handlerを使用するようIISを設定できる。

a. Properties、Custom Errors、HTTP Error 404、Edit Propertiesを選択する。
b. Message TypeとしてURLを選択し、ColdFusion MX Missing Template HandlerにURLのパスを入力する。

 このIIS Custom Error設定を使用した場合、Missing Template Handlerは、欠落したColdFusion MXのテンプレートだけでなく、欠落したウェブページに対する全てのリクエストを実行する。

◆ベンダー情報:
 Macromedia社は、当該暫定処置で問題を解消できるため、アップデートは発表しない予定である。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:28 GMT、02、04、2003】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 宅地建物取引士証の交付時に誤った顔写真を貼り付け

    宅地建物取引士証の交付時に誤った顔写真を貼り付け

  2. 埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

    埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

  3. 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

    「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

  4. EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

    EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

  5. セキュリティインシデント経験企業の 10 %が 10 億円以上の甚大な経済的損失

    セキュリティインシデント経験企業の 10 %が 10 億円以上の甚大な経済的損失

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP