Anwender von ColdFusion MX 6.1 for JRun4 (Updater 1) sollten einen von Macromedia vorgeschlagenen Workaround auf dem Server durchführen. Ohne diesen ist es nämlich für externe Anwender möglich, kompilierte Java-.class-Dateien vom Server herunterzuladen. So lassen sich unter Umständen Informationen über die Arbeitsweise des Servers, seiner Struktur und vertrauliche Informationen ausspähen. Ein Patch zur Beseitigung des Problems soll in der nächsten Updater-Version enthalten sein.
Der Hersteller stuft den Fehler als kritisch ein und empfiehlt dringend die in seiner Anleitung veröffentlichten Änderungen vorzunehmen. ColdFusion 7.0 ist von der Schwachstelle nicht betroffen. Ursache des Problems ist der Updater 1, der bei der Installation vergisst, ein bestimmtes Verzeichnis anzulegen, sodass bei einem Neustart die genannten Dateien im falschen Pfad landen.
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/58372
Cheers
@JAcki:pfct: