【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表 | ScanNetSecurity
2024.05.02(木)

【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表

◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

国際 海外情報
facebookLINE
◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

 サイトは、ColdFusionリクエストをColdFusion MXプロセスに受け渡す前にファイル許可を確認するようIISを構成する必要がある。これを怠ると、正式に認証されていないユーザーに対し、本来送信されるべきではないリクエストが送信される。


◆情報ソース:
・Macromedia Inc. (MPSB03-02), Jan. 30, 2003

◆キーワード:
 Macromedia: ColdFusion Server

◆分析:
 (iDEFENSE US) 多層フレームワークが使用され、満たされたリクエストを受け渡す必要のある段階が複数存在するため、ウェブベースのアプリケーションでのアクセス制御はますます複雑になっている。アクセス制御が適切に実装されていることを確認する。テスト用のユーザーアカウントを用いてセキュリティ設定を確認する。

◆検知方法:
 IISをウェブサーバーとして用いるWindowsプラットフォーム上の全バージョンのColdFusion MXでこの問題が確認されている。

◆暫定処置:
 以下の3つの作業を実行して、当該問題を解決する。

1. テンプレートファイルをチェックするようIISを設定する。

a. Properties、Home Directory、Configurationを選択する。
b. ファイル拡張子のCFMを選択し、Editを選択する。
c. Check File Existsチェックボックスにチェックマークを付けて、有効に設定する。
d. IISでファイル許可をチェックする必要のある他のColdFusion MXのファイル拡張子を全て選択する。また、以下の拡張子のCheck File Existsチェックボックスも有効に設定する。

・CFML
・DBM
・JSP (Enterprise版のみ)
・JSW (Enterprise版のみ)

2. CFMファイルを追加作成する。ColdFusion MXは、通常はファイルとして存在しない2つのテンプレートのパス名を使用する。IISはそのテンプレートファイルの存在を確認するため、これら2つのファイルを作成し、2番目のファイル用にCFIDEメインディレクトリを作成する。これら2つのファイルは空(長さがゼロ)のファイルの可能性がある。これらは、他のファイルと同様、NTFSファイル許可を使用する可能性がある。GraphData.cfmファイルはcfchartによって使用される。ide.cfmファイルはColdFusion MX Administrator、RDSによって使用される。デフォルトのIISウェブディレクトリが使用されている場合、これらのファイルは以下のロケーションにある。

・InetPubwwwrootCFIDEGraphData.cfm
・InetPubwwwrootCFIDEmainide.cfm

3. 欠落したテンプレートファイルを処理するようIISを構成する。ColdFusion MX AdministratorでMissing Template Handlerが指定されていない場合、この作業は不要である。IISはテンプレートファイルの存在をチェックすると、IISは、存在しないファイルに対するリクエストをColdFusion MXに受け渡す前にこれを認識し、報告する。ColdFusion MX AdministratorでMissing Template Handlerを指定すると、このMissing Template Handlerは実行されない。デフォルトのIISメッセージの代わりにColdFusion Missing Template Handlerを使用するようIISを設定できる。

a. Properties、Custom Errors、HTTP Error 404、Edit Propertiesを選択する。
b. Message TypeとしてURLを選択し、ColdFusion MX Missing Template HandlerにURLのパスを入力する。

 このIIS Custom Error設定を使用した場合、Missing Template Handlerは、欠落したColdFusion MXのテンプレートだけでなく、欠落したウェブページに対する全てのリクエストを実行する。

◆ベンダー情報:
 Macromedia社は、当該暫定処置で問題を解消できるため、アップデートは発表しない予定である。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:28 GMT、02、04、2003】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP