ColdFusion Security Hotfix: Webservice DoS

by kai on 11/12/2003



Der in CFMX verwendete Crimson XML Parser (inkludiert in Apache Axis, was wiederum in CFMX enthalten ist) ist gegenüber DoS-Attacken auf Webservices verwundbar. Dazu gibt es von Macromedia seit gerade eben ein Security Bulletin mit entsprechendem Patch.

ColdFusion vor MX ist NICHT betroffen (kein Wunder, da ist ja Crimson auch nicht dabei…;)

Hier die Links:

Macromedia Security Zone

MPSB03-07 Security Patch available for ColdFusion MX and JRun 4.0 Web Services DoS

Updated Eure Kisten!

kai December 12, 2003 at 12:00 am

Ja, so ist das zu verstehen. Der Crimson XML Parser bearbeitet nur die bei Axis eingehenden SOAP-Requests. Wenn Du Webservices mit etc. aktiv nutzt, dann wird das intern über andere Mechanismen abgebildet, so dass das Problem nicht zum tragen kommt.

Markus December 12, 2003 at 12:00 am

versteh nicht ganz was das heißen soll:

“This fix is NOT required if ColdFusion MX or JRun 4.0 is used only to consume Web Services provided by others.”

Heißt das, ich brauch das Update nicht, solange ich keine Web Services anbiete? (“consume” im Gegensatz zu “provide” Web Services??)

Comments on this entry are closed.

Previous post:

Next post: