Adobe hat heute einen dringenden HotFix für ColdFusion 9, 9.0.1, 9.0.2 und 10 veröffentlicht. Der HotFix behebt die Lücke, die auch schon in dem vorangegangenen Post beschrieben ist. Offensichtlich wird die Lücke bereits aktiv ausgenutzt, bei Heise gibt es weitere Infos.

Es ist also dringend anzuraten, den HotFix umgehend zu installieren!

Weitere Infos:

• Official ColdFusion Blog – New Critical ColdFusion security update for version 9 and above
• Sameeksha – Critical update for ColdFusio 10 and earlier released : May 2013

Adobe hat vor kurzem ein neues Security Advisory für ColdFusion 10.x, 9.x und vorangehende Versionen veröffentlicht, um unberechtigte Datei- und Verzeichniszugriffe in ColdFusion-Installationen zu unterbinden.

Im Server Lockdown Guide sind ebenfalls Abwehrmechanismen gegen diese Art von Angriffen aufgeführt. Wer diese bereits umgesetzt hat, braucht also nichts zu befürchten.  [Update: siehe nächstes Post]

Adobe hat gestern wichtige Security Updates für ColdFusion 9, 9.0.1, 9.0.2 und ColdFusion 10 bereitgestellt. Im entsprechenden Security Bulletin finden sich weitere Informationen zu den Updates.

[Update]: Die Lücken, die das Security Update schließen soll, werden bereits aktiv ausgenutzt. Aktuell hat es den Hoster Linode getroffen, bei dem Daten, Paswörter und sogar Kreditkartendaten gestohlen wurden. Also unbedingt Systeme aktualisieren!

Adobe gibt bekannt, dass es ab sofort ColdFusion 10 AMIs (Amazon Machine Images) im AWS Marketplace gibt.

Zur Zeit gibt es Large-Instanzen für 0.15$ die Stunde und X-Large Instanzen für 0.30$ die Stunde. In allen anderen Instanzen wird die Developer Edition von ColdFusion 10 installiert (nicht erlaubt für Produktionssysteme). Dokumentation über ColdFusion in der Cloud gibt es auch.

Übrigens sind wir AWS Advanced Consulting Partner und können ggf. mit Rat und Tat zur Seite stehen.

Adobe stellt seit letzten Freitag kummulative HotFixes für ColdFusion 9, 9.01 und 9.0.2 bereit. Die kummulativen HotFixes enthalten alle vorangegangenen HotFixes für die jeweilige Server-Version.

Adobe stellt heute das Updates 8 für ColdFusion 10 zur Verfügung. Aktualisiert wird die Unterstützung für Java 7, die Google-Maps-V3-Integration und der MacOS X Platztform Support.

Das Update kann über den Update-Mechanismus im CF-Administrator eingespielt werden.

Des Öfteren kam mir das Phänomen zu Ohren, dass der Coldfusion10 Server sich sporadisch “verabschiedet”, ohne ersichtlichen Grund oder einer besonderen Belastung des Servers.

Das Ergebnis einiger Nachforschungen liessen mich vermuten, dass ein Problem mit dem Connector existiert. Nicht mit dem Connector selbst, sondern mit der Verbindung zwischen dem Webserver (hier: IIS) und der Anbindung an Tomcat via AJP1.3.

Weiterlesen »

Das ColdFusion-Team gibt den Start des ColdFusion Youtube-Kanals bekannt:

Das ColdFusion-Server Team hat ein Security Advisory für ColdFusion herausgegeben, da es in letzter Zeit scheinbar gehäufte Angriffe auf ColdFusion-Systeme zu beobachten gibt. Einfallsvektor für die Angriffe sind nicht oder schlecht abgesicherte CFIDE-Verzeichnisstrukturen.

Das ColdFusion-Team, bzw. Rakshith Naresh, ColdFusion Produkt-Manager, gibt im offiziellen ColdFusion-Blog von Adobe einen Ausblick auf die weitere Entwicklung für ColdFusion, künftige Produktstrategien, Release-Zyklen, CF10 Feedback, ColdFusion in der Cloud und noch vieles mehr:

ColdFusion: News, Initiatives and Updates from Adobe