Vous êtes sur le site public du Cert-IST
Sécurisation des environnements de développement "Macromedia ColdFusion"

Date :20 Juin 2005

Publication: Article

Sécurisation des environnements de développement "Macromedia ColdFusion"

Macromedia a émis ce mois-ci un bulletin de sécurité pour attirer l'attention sur le manque de sécurité par défaut des environnements de développement "ColdFusion". En effet, certaines des fonctions mises à la disposition des développeurs peuvent leur permettre d'acquérir illégalement des droits élevés, ce qui pourrait  à court terme, les amener à prendre le contrôle de la plate-forme hébergeant l'environnement de développement "ColdFusion".

 Ce type de problème n'est pas vraiment préoccupant si les machines de développement sont dédiées à un projet donné. Il est en effet dans ce cas tout à fait acceptable que le projet ait le contrôle total des machines, et la faiblesse "ColdFusion" n'a pas réellement d'intérêt (pourquoi tenter d'acquérir "illégalement" les privilèges administrateur en utilisant "ColdFusion" alors que le projet a déjà le contrôle du compte "administrateur" ?). Par contre, cette faiblesse prend toute son importance dans le cadre de machines de développement multi-projets (organisation de type "centre de calcul"), ou encore de projets à fort besoin de sécurité (où par exemple tous les développeurs n'ont pas les mêmes besoins en matière de privilèges).

 Pour ces cas, Macromedia précise que "ColdFusion MX Entreprise" peut être sécurisé. Ce produit dispose en effet d'une fonction appelée "Sandbox" permettant de définir des environnements dans lesquelles certaines fonctionnalités "ColdFusion" ne sont plus autorisées à tous les développeurs. Macromedia recommande en particulier de limiter fortement l'utilisation du tag "CFOBJECT" et de la fonction "CreateObject". Ces deux mécanismes permettent à un développeur d'invoquer depuis ColdFusion des objets natifs existants sur la plate-forme (par exemple des objets COM Microsoft, des objets CORBA, ou même du code JAVA). En particulier, ColdFusion est livré par défaut avec des programmes JAVA permettant d'administrer l'environnement ColdFusion et si le tag "CFOBJECT" et la fonction "CreateObject" sont laissés accessibles par tous, alors ces programmes JAVA d'administration deviennent accessibles pour tous, ce qui peut mettre en danger la plate-forme hébergeant ColdFusion.

 Au delà de cet aspect particulier, Macromedia rappelle enfin qu'il a édité un guide pour la sécurisation des développements ColdFusion.

 Pour plus d'information