【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表

国際 海外情報

◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

 サイトは、ColdFusionリクエストをColdFusion MXプロセスに受け渡す前にファイル許可を確認するようIISを構成する必要がある。これを怠ると、正式に認証されていないユーザーに対し、本来送信されるべきではないリクエストが送信される。


◆情報ソース:
・Macromedia Inc. (MPSB03-02), Jan. 30, 2003

◆キーワード:
 Macromedia: ColdFusion Server

◆分析:
 (iDEFENSE US) 多層フレームワークが使用され、満たされたリクエストを受け渡す必要のある段階が複数存在するため、ウェブベースのアプリケーションでのアクセス制御はますます複雑になっている。アクセス制御が適切に実装されていることを確認する。テスト用のユーザーアカウントを用いてセキュリティ設定を確認する。

◆検知方法:
 IISをウェブサーバーとして用いるWindowsプラットフォーム上の全バージョンのColdFusion MXでこの問題が確認されている。

◆暫定処置:
 以下の3つの作業を実行して、当該問題を解決する。

1. テンプレートファイルをチェックするようIISを設定する。

a. Properties、Home Directory、Configurationを選択する。
b. ファイル拡張子のCFMを選択し、Editを選択する。
c. Check File Existsチェックボックスにチェックマークを付けて、有効に設定する。
d. IISでファイル許可をチェックする必要のある他のColdFusion MXのファイル拡張子を全て選択する。また、以下の拡張子のCheck File Existsチェックボックスも有効に設定する。

・CFML
・DBM
・JSP (Enterprise版のみ)
・JSW (Enterprise版のみ)

2. CFMファイルを追加作成する。ColdFusion MXは、通常はファイルとして存在しない2つのテンプレートのパス名を使用する。IISはそのテンプレートファイルの存在を確認するため、これら2つのファイルを作成し、2番目のファイル用にCFIDEメインディレクトリを作成する。これら2つのファイルは空(長さがゼロ)のファイルの可能性がある。これらは、他のファイルと同様、NTFSファイル許可を使用する可能性がある。GraphData.cfmファイルはcfchartによって使用される。ide.cfmファイルはColdFusion MX Administrator、RDSによって使用される。デフォルトのIISウェブディレクトリが使用されている場合、これらのファイルは以下のロケーションにある。

・InetPubwwwrootCFIDEGraphData.cfm
・InetPubwwwrootCFIDEmainide.cfm

3. 欠落したテンプレートファイルを処理するようIISを構成する。ColdFusion MX AdministratorでMissing Template Handlerが指定されていない場合、この作業は不要である。IISはテンプレートファイルの存在をチェックすると、IISは、存在しないファイルに対するリクエストをColdFusion MXに受け渡す前にこれを認識し、報告する。ColdFusion MX AdministratorでMissing Template Handlerを指定すると、このMissing Template Handlerは実行されない。デフォルトのIISメッセージの代わりにColdFusion Missing Template Handlerを使用するようIISを設定できる。

a. Properties、Custom Errors、HTTP Error 404、Edit Propertiesを選択する。
b. Message TypeとしてURLを選択し、ColdFusion MX Missing Template HandlerにURLのパスを入力する。

 このIIS Custom Error設定を使用した場合、Missing Template Handlerは、欠落したColdFusion MXのテンプレートだけでなく、欠落したウェブページに対する全てのリクエストを実行する。

◆ベンダー情報:
 Macromedia社は、当該暫定処置で問題を解消できるため、アップデートは発表しない予定である。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:28 GMT、02、04、2003】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. どこかへ跳んでいけ、出来の悪いラビット(The Register)

  8. SMSによる二要素認証が招くSOS(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×