{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Macromedia ColdFusion MX 6.1 avec JRun.","product":{"name":"ColdFusion","vendor":{"name":"Adobe","scada":false}}},{"description":"Macromedia ColdFusion MX 6.0 ;","product":{"name":"ColdFusion","vendor":{"name":"Adobe","scada":false}}},{"description":"Macromedia ColdFusion MX 6.1 ;","product":{"name":"ColdFusion","vendor":{"name":"Adobe","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n-   Une vuln\u00e9rabilit\u00e9 dans la fonction Sandbox Security, sur un syst\u00e8me\n    mettant en \u0153uvre le serveur d'application ColdFusion avec JRun 4 de\n    Macromedia, peut \u00eatre exploit\u00e9e par une personne mal intentionn\u00e9e\n    afin contourner la politique de s\u00e9curit\u00e9 et porter atteinte \u00e0 la\n    confidentialit\u00e9 des donn\u00e9es ;\n-   une vuln\u00e9rabilit\u00e9 dans le traitement du sujet d'un message\n    \u00e9lectronique peut \u00eatre exploit\u00e9e pour contourner la politique de\n    s\u00e9curit\u00e9 afin de joindre \u00e0 ce message des fichiers arbitraires ;\n-   une vuln\u00e9rabilit\u00e9 dans la fonction CFOBJECT/CreateObject(Java) peut\n    \u00eatre exploit\u00e9e au moyen de classes Java malicieusement construites\n    afin de contourner la politique de s\u00e9curit\u00e9 ;\n-   une vuln\u00e9rabilit\u00e9 permet \u00e0 un d\u00e9veloppeur mal intentionn\u00e9 de prendre\n    connaissance du hash des mots de passe, au moyen d'un appel API\n    (Application Programming Interface) malicieux.\n\n## Contournement provisoire\n\nPour les versions de ColdFusion MX 6.0 mettre \u00e0 jour en passant \u00e0 la\nversion :\n\n-   ColdFusion MX 6.1 ;\n\nPour les versions de ColdFusion MX 6.1, appliquer le correctif\ndisponible \u00e0 l'adresse suivante :\n\n    http://download.macromedia.com/pub/security/mpsb05-12.zip\n\n## Solution\n\nAppliquer la mise \u00e0 jour de s\u00e9curit\u00e9 en passant \u00e0 la version 7.0.1 de\nColdFusion MX, disponible \u00e0 l'adresse suivante :\n\n    http://www.macromedia.com/support/coldfusion/downloads_updates.html#mx7\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Macromedia MPSB05-14 du 15 d\u00e9cembre    2005 :","url":"http://www.macromedia.com/devnet/security/security_zone/mpsb05-14.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Macromedia MPSB05-12 du 15 d\u00e9cembre    2005 :","url":"http://www.macromedia.com/devnet/security/security_zone/mpsb05-12.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 ColdFusion MX 7.0.1 :","url":"http://www.macromedia.com/support/coldfusion/downloads_updates.html#mx7"}],"reference":"CERTA-2005-AVI-493","revisions":[{"description":"version initiale.","revision_date":"2005-12-19T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"De nombreuses vuln\u00e9rabilit\u00e9s dans le serveur d'application ColdFusion\npermettent \u00e0 un utilisateur distant mal intentionn\u00e9 de contourner la\npolitique de s\u00e9curit\u00e9 ou de porter atteinte \u00e0 la confidentialit\u00e9 des\ndonn\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans ColdFusion de Macromedia","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Macromedia MPSB05-14 du 15 d\u00e9cembre 2005","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Macromedia MPSB05-12 du 15 d\u00e9cembre 2005","url":null}]}