【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表 | ScanNetSecurity
2025.04.05(土)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

【詳細情報】Macromedia社がColdFusion MXのセキュリティブリテンを発表

◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

国際
25 views
◆概要:
 Macromedia社が、Microsoft Internet Information Services(IIS)ウェブサーバー上でWindows NT認証、NTFSファイル許可を用いてColdFusion MXのファイルへのアクセスを制御するサイトに対するセキュリティブリテンを発表した。

 サイトは、ColdFusionリクエストをColdFusion MXプロセスに受け渡す前にファイル許可を確認するようIISを構成する必要がある。これを怠ると、正式に認証されていないユーザーに対し、本来送信されるべきではないリクエストが送信される。


◆情報ソース:
・Macromedia Inc. (MPSB03-02), Jan. 30, 2003

◆キーワード:
 Macromedia: ColdFusion Server

◆分析:
 (iDEFENSE US) 多層フレームワークが使用され、満たされたリクエストを受け渡す必要のある段階が複数存在するため、ウェブベースのアプリケーションでのアクセス制御はますます複雑になっている。アクセス制御が適切に実装されていることを確認する。テスト用のユーザーアカウントを用いてセキュリティ設定を確認する。

◆検知方法:
 IISをウェブサーバーとして用いるWindowsプラットフォーム上の全バージョンのColdFusion MXでこの問題が確認されている。

◆暫定処置:
 以下の3つの作業を実行して、当該問題を解決する。

1. テンプレートファイルをチェックするようIISを設定する。

a. Properties、Home Directory、Configurationを選択する。
b. ファイル拡張子のCFMを選択し、Editを選択する。
c. Check File Existsチェックボックスにチェックマークを付けて、有効に設定する。
d. IISでファイル許可をチェックする必要のある他のColdFusion MXのファイル拡張子を全て選択する。また、以下の拡張子のCheck File Existsチェックボックスも有効に設定する。

・CFML
・DBM
・JSP (Enterprise版のみ)
・JSW (Enterprise版のみ)

2. CFMファイルを追加作成する。ColdFusion MXは、通常はファイルとして存在しない2つのテンプレートのパス名を使用する。IISはそのテンプレートファイルの存在を確認するため、これら2つのファイルを作成し、2番目のファイル用にCFIDEメインディレクトリを作成する。これら2つのファイルは空(長さがゼロ)のファイルの可能性がある。これらは、他のファイルと同様、NTFSファイル許可を使用する可能性がある。GraphData.cfmファイルはcfchartによって使用される。ide.cfmファイルはColdFusion MX Administrator、RDSによって使用される。デフォルトのIISウェブディレクトリが使用されている場合、これらのファイルは以下のロケーションにある。

・InetPubwwwrootCFIDEGraphData.cfm
・InetPubwwwrootCFIDEmainide.cfm

3. 欠落したテンプレートファイルを処理するようIISを構成する。ColdFusion MX AdministratorでMissing Template Handlerが指定されていない場合、この作業は不要である。IISはテンプレートファイルの存在をチェックすると、IISは、存在しないファイルに対するリクエストをColdFusion MXに受け渡す前にこれを認識し、報告する。ColdFusion MX AdministratorでMissing Template Handlerを指定すると、このMissing Template Handlerは実行されない。デフォルトのIISメッセージの代わりにColdFusion Missing Template Handlerを使用するようIISを設定できる。

a. Properties、Custom Errors、HTTP Error 404、Edit Propertiesを選択する。
b. Message TypeとしてURLを選択し、ColdFusion MX Missing Template HandlerにURLのパスを入力する。

 このIIS Custom Error設定を使用した場合、Missing Template Handlerは、欠落したColdFusion MXのテンプレートだけでなく、欠落したウェブページに対する全てのリクエストを実行する。

◆ベンダー情報:
 Macromedia社は、当該暫定処置で問題を解消できるため、アップデートは発表しない予定である。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:28 GMT、02、04、2003】
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×