Macromedia informa de la existencia de vulnerabilidades de denegación
de servicio en ColdFusion MX y JRun 4.
El problema se debe al uso por defecto del analizador Apache Crimson
XML para procesar las peticiones SOAP al servidor web. Las versiones
de ColdFusion 5 y anteriores no incluyen servicios web por lo que no
resultan vulnerables. De igual forma, el parche no será necesario si
ColdFusion MX o JRun 4.0 se emplea únicamente con un servidor web
proporcionados por otros fabricantes.
El parche incluye un sustituto del analizador Crimson XML en
crimson.jar y debe ser aplicado en todas las ediciones de JRun 4.0,
en ColdFusionMX 6.0 y 6.1 y en ColdFusionMX 6.0 J2EE y 6.1 J2EE.
Macromedia ha publicado los parches necesarios para evitar este
problema en la siguiente dirección:
Para ColdFusion MX 6.0,6.1 y JRun 4
http://download.macromedia.com/pub/security/mpsb03-07.zip
Para ColdFusion MX J2EE IBM WebSphere
http://download.macromedia.com/pub/security/mpsb03_07_was5.zip
Más información:
MPSB03-07 Security Patch available for ColdFusion MX and JRun 4.0 Web
Services DoS
http://www.macromedia.com/devnet/security/security_zone/mpsb03-07.html
Antonio Ropero
antonior@hispasec.com