Der in CFMX verwendete Crimson XML Parser (inkludiert in Apache Axis, was wiederum in CFMX enthalten ist) ist gegenüber DoS-Attacken auf Webservices verwundbar. Dazu gibt es von Macromedia seit gerade eben ein Security Bulletin mit entsprechendem Patch.
ColdFusion vor MX ist NICHT betroffen (kein Wunder, da ist ja Crimson auch nicht dabei...;)
Hier die Links:
MPSB03-07 Security Patch available for ColdFusion MX and JRun 4.0 Web Services DoS
Updated Eure Kisten!
2 comments
Ja, so ist das zu verstehen. Der Crimson XML Parser bearbeitet nur die bei Axis eingehenden SOAP-Requests. Wenn Du Webservices mit etc. aktiv nutzt, dann wird das intern über andere Mechanismen abgebildet, so dass das Problem nicht zum tragen kommt.
versteh nicht ganz was das heißen soll: "This fix is NOT required if ColdFusion MX or JRun 4.0 is used only to consume Web Services provided by others." Heißt das, ich brauch das Update nicht, solange ich keine Web Services anbiete? ("consume" im Gegensatz zu "provide" Web Services??)