Das Thema Sicherheit in Web-Anwendungen nimmt ja einen immer größeren Stellenwert ein, daher sei an dieser Stelle noch einmal darauf hingewiesen, dass auch ColdFusion mittlerweile mit zahlreichen Methoden zur Gefahrenabwehr ausgestattet ist. Sowohl für die 8er-Versionen, als auch für die 9er-Versionen enthalten die HotFixes einige nützliche Bibliotheken und Erweiterungen, die direkt nutzbar sind, bzw. die Sicherheit eines ColdFusion-Servers direkt erhöhen:

• ColdFusion’s Builtin Enterprise Security API
• HTTPOnly Cookies
• Session Fixation, XSS, CRLF injection

Darüberhinaus stellt Adobe mit den Lockdown Guides bzw. Developer Guidelines hilfreiche Anleitungen zur Verfügung, wie die CF-Server mit zusätzlichen Maßnahmen gegenüber Dritten abgesichert werden können:

• Coldfusion 9 Server Lockdown Guide
• ColdFusion 8 developer security guidelines

Vor kurzen hat das Adobe ColdFusion Server Team den zweiten kumulativen Hot Fix für ColdFusion 9.0.1 veröffentlicht. Der neue Hot Fix enthält die vorangegangenen Updates APSB11-04, APSB11-14, APSB11-15 zusammen mit dem kumulativen Hot Fix 1. Wie immer, sollte das Update so bald wie möglich eingespielt werden.

Mac-Freunde aufgepaßt: ColdFusion 9.0.1 zusammen mit dem kumulativen HotFix 2 unterstützt jetzt auch Mac OSX Lion (10.7.x)!

Wird das jetzt zur Regel…? Das ColdFusion Server Team hat einen aktualisierten Hot Fix veröffentlicht. Der Hot Fix behebt Probleme, die der Hot Fix aus dem Juni unter Umständen verursacht.

Weitere Einzelheiten finden sich unter http://kb2.adobe.com/cps/907/cpsid_90784.html

Das ColdFusion Server Team hat ein neues Sicherheits-Update für ColdFusion 9.0.1, 9.0, 8.0.1 and 8.0 für Windows, Macintosh und UNIX veröffentlicht. Das Update behebt Schwachstellen, die zu Cross Site Request Forgery- (CSRF) oder Remote Denial-of-Service-Angriffen auf das System führen könnten. Wie immer sollte das Update zeitnah eingespielt werden!

Wer in letzter Zeit mal einen CF8-Server aufgesetzt hat, weiß mit welcher HotFix-Orgie der Server auf den aktuellsten Stand gebracht werden muss. Adobe hat da noch kein ausgereiftes Konzept, selbst die kommulativen HotFixes enthalten nicht alle vorangegangenen Änderungen bzw. Dateiänderungen. David C. Epler hat sich mit dem Thema mal auseinandergesetzt und einen inoffiziellen Updater mit Ant realisiert, der alle relavanten Updates für ColdFusion 8 in einem Rutsch auf einem beliebigen Server installiert.

Praktische Hilfe beim Neuinstallieren eines CF8-Servers… (sollte Adobe sich mal ein Beispiel dran nehmen oder gleich einkaufen )

Der Oracle Security Alert CVE-2010-4476 betrifft unter anderem die ColdFusion Versionen 8.0, 8.01, 9.0 und 9.01. Mittlerweile ist das JDK 1.6.0_24 jedoch für die Verwendung mit diesen CF-Versionen offiziell zertifiziert und kann dort problemlos verwendet werden. Adobe hat dazu auch eine Technote veröffentlicht. Nebenbei behebt die Aktualisierung der JVM übrigens auch Geschwindigkeitsprobleme mit CFCs bei größeren Sites/ komplexen Frameworks.

Die JVM für ColdFusion kann auf mehrere Arten aktualisiert bzw. ausgetauscht werden: ein Weg wird in der Technote “How to change the JVM for ColdFusion on JRun” von Adobe beschrieben, ein anderer Weg wird in einem Blog-Beitrag von Sean Corfield erläutert.

Adobe hat mit einem aktuellen Security Bulletin Hotfixes für die ColdFusion Versionen 8.0, 8.01, 9.0 und 9.01 bereitgestellt. Wie immer sollten die Aktualisierungen zeitnah in’s System eingespielt werden.

[UPDATE 17.02.2011]: Achtung! Das Security-Update kann unter Umständen das bestehende Session-Handling einer Anwendung beeinflussen, bzw. lahmlegen. Beschreibung und ein möglicher Workaround finden sich hier und hier. Da fragt man sich  doch, was das denn für ein Fix sein soll…

Als neulich bei einem unserer Kunden ein Sicherheitstest bei diversen ColdFusion Web-Anwendungen durchgeführt wurde, fiel auf, das die ScriptProtection von ColdFusion nicht ausreichend ist!

Falls die (globale) ScriptProtection dem ein oder anderem unbekannt sein sollte, das wurde mit MX7 eingeführt und kann sowohl auf Anwendungsebene (bei cfapplication bzw. in der application.cfc) als auch global (im CF-Administrator für alle Anwendungen) angewendet werden. Dabei werden laut Livedocs die HTML Tag Namen object, embed, script, applet und meta durch den Text “InvalidTag”, wahlweise in allen oder nur bestimmten Scopes, ersetzt.

Weiterlesen »

Die gängigsten HTTP-Verben, oder auch HTTP-Methoden, werden den meisten Entwicklern bekannt sein: GET und POST. Weitere im HTML-Protokoll definierte und zulässige Verben/Methoden sind z.B. PUT, MOVE oder DELETE. Mit Hilfe dieser Verben bzw. Methoden weist das Protokoll den Server an, wie mit dem jeweiligem Request umgegangen werden soll. Leider können durch die Verwendung einiger Verben/Methoden auch Sicherheitslücken entstehen. Und um die zu verhindern, kann man bestimmte Verben auch unterdrücken, bzw. Requests mit einer bestimmten Methode verwerfen, sofern sie nicht von der Anwendung benötigt werden.

Weiterlesen »

Adobe hat ein Whitepaper zum Absichern von Coldfusion 9 Servern veröffentlicht. Administratoren finden in dem Leitfaden wichtige Hinweise zum Absichern ihrer Server. Unbedingt ansehen…

Siehe http://www.adobe.com/products/coldfusion/whitepapers/pdf/91025512_cf9_lockdownguide_wp_ue.pdf