CVE-2009-3960

Adobe BlazeDS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-07

Официальное описание

Adobe BlazeDS, which is utilized in LifeCycle and Coldfusion, contains a vulnerability that allows for information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2009-3960) в Adobe BlazeDS позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации (Information Disclosure). Атакующий может отправить специально сформированный HTTP-запрос к сервисам BlazeDS (например, к конечным точкам AMF), что приведет к раскрытию данных, включая исходный код сервлетов или другую чувствительную информацию с сервера.

Как исправить

Основной метод — установка официального патча от Adobe. Обновите Adobe BlazeDS, Adobe LiveCycle Data Services (LCDS) или Adobe ColdFusion до версий, в которых уязвимость устранена.

  • Для Adobe BlazeDS 3.x и Adobe LiveCycle Data Services 2.5.x: Установите патч APS09-10. Скачайте и установите соответствующий файл обновления с официального портала Adobe.
  • Для Adobe ColdFusion: Обновитесь до одной из следующих версий:
    • ColdFusion 8.0.1: Установите накопительный патч CHF801 (или более поздний).
    • ColdFusion 8.0: Обновитесь до версии 8.0.1 с установленным патчем CHF801.
    • ColdFusion 9.0: Уязвимость устранена в первоначальном выпуске.

Пример для Linux (если используется пакетный менеджер):

# Для ColdFusion 8 на RHEL/CentOS (пример, актуальный на момент выпуска патча)
# 1. Скачайте официальный патч-файл .bin с сайта Adobe.
# 2. Сделайте его исполняемым и запустите от имени root:
chmod +x coldfusion-801-cumulative-patch.bin
sudo ./coldfusion-801-cumulative-patch.bin

Для Windows: Найдите и установите соответствующий пакет обновления (например, KB-патч для ColdFusion) через административную консоль или скачанный установщик.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры:

  1. Настройка WAF (Web Application Firewall):

    • Добавьте правило, блокирующее HTTP-запросы, содержащие в URI или теле запроса строки, характерные для эксплуатации этой уязвимости (например, source или ../ в контексте вызова сервлетов BlazeDS). Конкретные сигнатуры уточняйте у вендора WAF.

  2. Ограничение сетевого доступа:

    • Настройте групповые политики (GPO) или правила межсетевого экрана (firewall), чтобы разрешить доступ к портам приложений BlazeDS (например, 8400, 8500 для ColdFusion) только с доверенных IP-адресов (сегментов сети администраторов, внутренних серверов).

  3. Модификация конфигурации (если применимо):

    • Рассмотрите возможность временного отключения ненужных сервисов или конечных точек (endpoints) BlazeDS в конфигурационных файлах приложения, если они не являются критичными для работы.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей