Configuration permissive de l'environnement "ColdFusion"
Date : 23 Juin 2005
Ce mois-ci un problème a été soulevé sous l'environnement web ColdFusion d'Allaire. Dans la configuration par défaut, il existe une option qui permet de générer des messages d'erreurs détaillés. C'est l'option "Enable Robust Exception Information" de la section "Debugging Settings".
En fait cette configuration permet aussi de dévoiler à une personne malveillante le répertoire physique dans lequel est installé ColdFusion. Il suffit pour cela d' effectuer une requête HTTP erronée sur le serveur d'administration du produit; ce serveur s'exécutant par défaut sur le port 8500 du système.
Le message d'erreur est alors de la forme (pour une requête de type http://[machine]:8500/CFIDE/probe.cfm) :
Error occured in:
C:\CFusionMX\wwwroot\CFIDE\probe.cfm:line56
Allaire précise que l'option "Enable Robust Exception Information" a été fournie pour des activités de débogage et ne doit pas être activée dans des environnements de production. Il est également recommandé de ne pas rendre le serveur d'administration de ColdFusion accessible depuis Internet.
Pour plus d'information :
- Avis Network Intelligence India Pvt. Ltd.: http://www.nii.co.in/vuln/pdmac.html