Foros del Web » Creando para Internet » Herramientas y Software »

Acceso a información sensible e inyección SQL en Macromedia Dreamweaver

Estas en el tema de Acceso a información sensible e inyección SQL en Macromedia Dreamweaver en el foro de Herramientas y Software en Foros del Web. Acceso a información sensible e inyección SQL en Macromedia Dreamweaver ----------------------------------------------------------------------- Se ha descubierto una vulnerabilidad en Macromedia Dreamweaver (versiones MX 2004, MX y el ...
  #1 (permalink)  
Antiguo 07/04/2004, 18:58
Avatar de DanielRey
Usuario no validado
 
Fecha de Ingreso: enero-2001
Ubicación: Mendoza
Mensajes: 630
Antigüedad: 23 años, 10 meses
Puntos: 1
Exclamación Acceso a información sensible e inyección SQL en Macromedia Dreamweaver

Acceso a información sensible e inyección SQL en Macromedia Dreamweaver
-----------------------------------------------------------------------

Se ha descubierto una vulnerabilidad en Macromedia Dreamweaver
(versiones MX 2004, MX y el paquete UltraDev 4) que permitiría a un
usuario remoto, en determinadas configuraciones, acceder a información
reservada y realizar inyección de código SQL.

Dreamweaver es un entorno de desarrollo web con multitud de herramientas
y asistentes para facilitar el trabajo del programador. Los productos
afectados son las versiones MX y MX 2004 de Dreamweaver, además de
UltraDev 4.

Macromedia ha informado de que su producto Dreamweaver instala algunos
scripts de pruebas que puede revelar varios DSNs (Data Source Names) a
usuario remotos, o que puede permitir la ejecución de código SQL en
máquinas vulnerables.

La vulnerabilidad, descubierta por Next Generation Security Software, se
presenta cuando los parámetros "Using Driver On Testing Server" o "Using
DSN on Testing Server" están activados en la sección de conexiones a
base de datos. Dreamweaver sube un script a la misma que permite acceder
a ella de forma remota utilizando el protocolo HTTP. De esa forma, un
usuario remoto puede ver DSNs, que si no están protegidos por clave,
pueden ser utilizados para realizar consultas SQL sobre la base de
datos. Macromedia ha definido esta vulnerabilidad como crítica.

La compañía recomienda proteger la base de datos con claves, además de
utilizar los scripts de eliminación de conexión de Dreamweaver para
eliminar los archivos que exponen la base de datos al público.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1991/comentar

Más información:

Security implications of remote database connectivity
http://www.macromedia.com/support/dr...b_security.htm

MPSB 04-05 Potential Risk in Dreamweaver Remote
http://www.macromedia.com/devnet/sec...mpsb04-05.html


Julio Canto
[email protected]
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 18:47.