Problema de segurança sério no CF 8.01
11 views
Skip to first unread message
Alex Hubner
Jul 3, 2009, 8:44:31 PM7/3/09
to cfbr...@googlegroups.com
Pessoal, espero que todos já estejam cientes de um problema de segurança sério divulgado recentemente e que envolve o CF 8.01. A brecha permite o upload de arquivos para o servidor por qualquer usuário/visitante anônimo mal intencionado.
Na versão 8x do CF, a Adobe incluiu a possibilidade de se usar caixas de texto (textareas) "ricas" (com editor html embutido), através da tag <cftextarea> e o atributo "html" (se não me engano). Para tal eles utilizaram o famoso FCKEditor, numa versão minimalista e apenas com suporte a CFML. Como muitos sabem, o FCKEditor vêm com um recurso de upload de arquivos e também um gerenciador de arquivos em CF (mas também vem com suporte a PHP, ASP, Laso, etc) e que precisa ser habilitado manualmente (editando o arquivo config.cfm no caso do CF). Na versão 8.0.0 do CFServer este recurso vinha desabilitado por padrão, porém na versão 8.0.1 ele vêm habilitado, por razões ainda não esclarecidas.
Como muitos sites CF exigem a presença da pasta /CFIDE/scripts/* para que recursos (como os envolvendo a tag CFFORM e recurso Ajax) funcionem, e muita gente não sabia que o recurso de upload do FCKEditor embutido agora vinha como "enabled" por padrão, temos VÁRIOS sites em CF comprometido por esta vulnerabilidade. Eu mesmo já verifiquei a vulnerabilidade em pelo menos dois sites no Brasil (daqueles listados no CFUGBR).
A solução é desabilitar o recurso editando o arquivo config.cfm ou então apagar a pasta /CFIDE/scripts/ajax/FCKeditor/editor/filemanager/ inteira, e maiores detalhes e correções em: http://www.codfusion.com/blog/post.cfm/cf8-and-fckeditor-security-threat. Fica aqui o alerta para que todos verifiquem a questão em seus websites e servidores com aplicações CF.
Adicionalmente eu recomendo alguns procedimentos que sempre adotei no que diz respeito à pasta CFIDE:
1) Criar uma pasta CFIDE que contenha apenas as pastas "classes", "images" e "scripts", eliminando todas as demais (em especial a pasta "administrator"), inclusive arquivos presentes na raiz;
2) Colocar esta pasta fora da raiz do seu site (claro, se você puder fazer isso gerenciando o seu servidor) e mapeá-la (com o Apache ou IIS) com permissão apenas de leitura, jamais de execução de scripts. Com isso você se certifica de que apenas imagens, arquivos de JavaScript e outros arquivos estáticos poderão ser lidos (jamais executados), deixando de fora toda a parafernália "terceirizada" que a Adobe incluiu no CF, tais como o FCKEditor, Spry, Yui, Ext, e que podem carregar falhas de segurança.
Existem outras maneiras de proteger, mas deixo para outros sugerirem.
Abraços a todos com saudades!
Na versão 8x do CF, a Adobe incluiu a possibilidade de se usar caixas de texto (textareas) "ricas" (com editor html embutido), através da tag <cftextarea> e o atributo "html" (se não me engano). Para tal eles utilizaram o famoso FCKEditor, numa versão minimalista e apenas com suporte a CFML. Como muitos sabem, o FCKEditor vêm com um recurso de upload de arquivos e também um gerenciador de arquivos em CF (mas também vem com suporte a PHP, ASP, Laso, etc) e que precisa ser habilitado manualmente (editando o arquivo config.cfm no caso do CF). Na versão 8.0.0 do CFServer este recurso vinha desabilitado por padrão, porém na versão 8.0.1 ele vêm habilitado, por razões ainda não esclarecidas.
Como muitos sites CF exigem a presença da pasta /CFIDE/scripts/* para que recursos (como os envolvendo a tag CFFORM e recurso Ajax) funcionem, e muita gente não sabia que o recurso de upload do FCKEditor embutido agora vinha como "enabled" por padrão, temos VÁRIOS sites em CF comprometido por esta vulnerabilidade. Eu mesmo já verifiquei a vulnerabilidade em pelo menos dois sites no Brasil (daqueles listados no CFUGBR).
A solução é desabilitar o recurso editando o arquivo config.cfm ou então apagar a pasta /CFIDE/scripts/ajax/FCKeditor/editor/filemanager/ inteira, e maiores detalhes e correções em: http://www.codfusion.com/blog/post.cfm/cf8-and-fckeditor-security-threat. Fica aqui o alerta para que todos verifiquem a questão em seus websites e servidores com aplicações CF.
Adicionalmente eu recomendo alguns procedimentos que sempre adotei no que diz respeito à pasta CFIDE:
1) Criar uma pasta CFIDE que contenha apenas as pastas "classes", "images" e "scripts", eliminando todas as demais (em especial a pasta "administrator"), inclusive arquivos presentes na raiz;
2) Colocar esta pasta fora da raiz do seu site (claro, se você puder fazer isso gerenciando o seu servidor) e mapeá-la (com o Apache ou IIS) com permissão apenas de leitura, jamais de execução de scripts. Com isso você se certifica de que apenas imagens, arquivos de JavaScript e outros arquivos estáticos poderão ser lidos (jamais executados), deixando de fora toda a parafernália "terceirizada" que a Adobe incluiu no CF, tais como o FCKEditor, Spry, Yui, Ext, e que podem carregar falhas de segurança.
Existem outras maneiras de proteger, mas deixo para outros sugerirem.
Abraços a todos com saudades!
Ronan Lucio
Jul 6, 2009, 1:09:44 PM7/6/09
to cfbr...@googlegroups.com
Boa tarde Alex,
Aproveitando o assunto, caso alguém ainda não tenha lido sobre a vulnerabilidade do Upload, segue o link para leitura "obrigatória":
http://www.coldfusionjedi.com/index.cfm/2009/6/30/Are-you-aware-of-the-MIMEFile-Upload-Security-Issue
PS: Inclusive eu recomendo ler os outros links relacionados, o post do Brent Frye e o do Pete Freitag.
[]s
Ronan
Alex Hubner escreveu:
Aproveitando o assunto, caso alguém ainda não tenha lido sobre a vulnerabilidade do Upload, segue o link para leitura "obrigatória":
http://www.coldfusionjedi.com/index.cfm/2009/6/30/Are-you-aware-of-the-MIMEFile-Upload-Security-Issue
PS: Inclusive eu recomendo ler os outros links relacionados, o post do Brent Frye e o do Pete Freitag.
[]s
Ronan
Alex Hubner escreveu:
Diego Bastos
Jul 7, 2009, 9:55:36 AM7/7/09
to ColdFusion Brasil
Caramba, controle total do servidor facil facil.
On 6 jul, 14:09, Ronan Lucio <lis...@tiper.com.br> wrote:
> Boa tarde Alex,
>
> Aproveitando o assunto, caso alguém ainda não tenha lido sobre a
> vulnerabilidade do Upload, segue o link para leitura "obrigatória":
>
> http://www.coldfusionjedi.com/index.cfm/2009/6/30/Are-you-aware-of-th...
> > padrão, porém na versão 8.0.1 ele vêm _habilitado_, por razões ainda
On 6 jul, 14:09, Ronan Lucio <lis...@tiper.com.br> wrote:
> Boa tarde Alex,
>
> Aproveitando o assunto, caso alguém ainda não tenha lido sobre a
> vulnerabilidade do Upload, segue o link para leitura "obrigatória":
>
>
> PS: Inclusive eu recomendo ler os outros links relacionados, o post do
> Brent Frye e o do Pete Freitag.
>
> []s
> Ronan
>
> Alex Hubner escreveu:
>
> > Pessoal, espero que todos já estejam cientes de um problema de
> > segurança sério divulgado recentemente e que envolve o CF 8.01. A
> > brecha permite o upload de arquivos para o servidor por qualquer
> > usuário/visitante anônimo mal intencionado.
>
> > Na versão 8x do CF, a Adobe incluiu a possibilidade de se usar caixas
> > de texto (textareas) "ricas" (com editor html embutido), através da
> > tag <cftextarea> e o atributo "html" (se não me engano). Para tal eles
> > utilizaram o famoso FCKEditor, numa versão minimalista e apenas com
> > suporte a CFML. Como muitos sabem, o FCKEditor vêm com um recurso de
> > upload de arquivos e também um gerenciador de arquivos em CF (mas
> > também vem com suporte a PHP, ASP, Laso, etc) e que precisa ser
> > habilitado manualmente (editando o arquivo config.cfm no caso do CF).
> > Na versão 8.0.0 do CFServer este recurso vinha _desabilitado_ por
> PS: Inclusive eu recomendo ler os outros links relacionados, o post do
> Brent Frye e o do Pete Freitag.
>
> []s
> Ronan
>
> Alex Hubner escreveu:
>
> > Pessoal, espero que todos já estejam cientes de um problema de
> > segurança sério divulgado recentemente e que envolve o CF 8.01. A
> > brecha permite o upload de arquivos para o servidor por qualquer
> > usuário/visitante anônimo mal intencionado.
>
> > Na versão 8x do CF, a Adobe incluiu a possibilidade de se usar caixas
> > de texto (textareas) "ricas" (com editor html embutido), através da
> > tag <cftextarea> e o atributo "html" (se não me engano). Para tal eles
> > utilizaram o famoso FCKEditor, numa versão minimalista e apenas com
> > suporte a CFML. Como muitos sabem, o FCKEditor vêm com um recurso de
> > upload de arquivos e também um gerenciador de arquivos em CF (mas
> > também vem com suporte a PHP, ASP, Laso, etc) e que precisa ser
> > habilitado manualmente (editando o arquivo config.cfm no caso do CF).
> > padrão, porém na versão 8.0.1 ele vêm _habilitado_, por razões ainda
> > não esclarecidas.
>
> > Como muitos sites CF exigem a presença da pasta /CFIDE/scripts/* para
> > que recursos (como os envolvendo a tag CFFORM e recurso Ajax)
> > funcionem, e muita gente não sabia que o recurso de upload do
> > FCKEditor embutido agora vinha como "enabled" por padrão, temos VÁRIOS
> > sites em CF comprometido por esta vulnerabilidade. Eu mesmo já
> > verifiquei a vulnerabilidade em pelo menos dois sites no Brasil
> > (daqueles listados no CFUGBR).
>
> > A solução é desabilitar o recurso editando o arquivo config.cfm ou
> > então apagar a pasta
> > /CFIDE/scripts/ajax/FCKeditor/editor/*filemanager/* inteira, e maiores
>
> > Como muitos sites CF exigem a presença da pasta /CFIDE/scripts/* para
> > que recursos (como os envolvendo a tag CFFORM e recurso Ajax)
> > funcionem, e muita gente não sabia que o recurso de upload do
> > FCKEditor embutido agora vinha como "enabled" por padrão, temos VÁRIOS
> > sites em CF comprometido por esta vulnerabilidade. Eu mesmo já
> > verifiquei a vulnerabilidade em pelo menos dois sites no Brasil
> > (daqueles listados no CFUGBR).
>
> > A solução é desabilitar o recurso editando o arquivo config.cfm ou
> > então apagar a pasta
> > detalhes e correções em:
> >http://www.codfusion.com/blog/post.cfm/cf8-and-fckeditor-security-threat.
> > Fica aqui o alerta para que todos verifiquem a questão em seus
> > websites e servidores com aplicações CF.
>
> > Adicionalmente eu recomendo alguns procedimentos que sempre adotei no
> > que diz respeito à pasta CFIDE:
>
> > 1) Criar uma pasta CFIDE que contenha apenas as pastas "classes",
> > "images" e "scripts", eliminando todas as demais (em especial a pasta
> > "administrator"), inclusive arquivos presentes na raiz;
> > 2) Colocar esta pasta fora da raiz do seu site (claro, se você puder
> > fazer isso gerenciando o seu servidor) e mapeá-la (com o Apache ou
> > IIS) com permissão apenas de _leitura_, jamais de execução de scripts.
> >http://www.codfusion.com/blog/post.cfm/cf8-and-fckeditor-security-threat.
> > Fica aqui o alerta para que todos verifiquem a questão em seus
> > websites e servidores com aplicações CF.
>
> > Adicionalmente eu recomendo alguns procedimentos que sempre adotei no
> > que diz respeito à pasta CFIDE:
>
> > 1) Criar uma pasta CFIDE que contenha apenas as pastas "classes",
> > "images" e "scripts", eliminando todas as demais (em especial a pasta
> > "administrator"), inclusive arquivos presentes na raiz;
> > 2) Colocar esta pasta fora da raiz do seu site (claro, se você puder
> > fazer isso gerenciando o seu servidor) e mapeá-la (com o Apache ou
Francisco Paulino - Tofinha
Jul 7, 2009, 7:21:44 PM7/7/09
to cfbr...@googlegroups.com
Fora o já bem citado pelo Alex, segue o post do blog, Adobe Product Security Incident Response Team:
http://blogs.adobe.com/psirt/2009/07/potential_coldfusion_security.html
abs
Tofinha
http://blogs.adobe.com/psirt/2009/07/potential_coldfusion_security.html
abs
Tofinha
2009/7/6 Ronan Lucio <lis...@tiper.com.br>
Fagner Guimarães
Jul 8, 2009, 5:29:45 PM7/8/09
to cfbr...@googlegroups.com
Estou usando em um site que o usuário pode contribuir com conteúdo o FCKEditor, mas é a ferramenta completa não é o que vem com o CF8. Esse erro afeta o FCKEditor Tb? Tem alguma maneira de colocar segurança nele?
O site ainda vai ser lançado.
Abraço
Fagner
Pedro Claudio
Jul 8, 2009, 5:47:50 PM7/8/09
to cfbr...@googlegroups.com
O que o Tofinha postou ajudará você.
--
Pedro Claudio
Adobe User Group Manager - CFUG-BR
Adobe Certified Expert
Adobe Certified Professional
http://blog.pcsilva.com/en
http://twitter.com/pcsilva
+55 21 87020619
55*12*21517
2009/7/8 Fagner Guimarães <fagne...@gmail.com>
--
Pedro Claudio
Adobe User Group Manager - CFUG-BR
Adobe Certified Expert
Adobe Certified Professional
http://blog.pcsilva.com/en
http://twitter.com/pcsilva
+55 21 87020619
55*12*21517
Francisco Paulino - Tofinha
Jul 9, 2009, 9:01:43 AM7/9/09
to cfbr...@googlegroups.com
Já está disponível o HotFix liberado pela Adobe:
http://www.adobe.com/support/security/bulletins/apsb09-09.html
Abs
Tofinha
http://www.adobe.com/support/security/bulletins/apsb09-09.html
Abs
Tofinha
2009/7/8 Pedro Claudio <pcs...@gmail.com>
Reply all
Reply to author
Forward
0 new messages