Deze week is er een nieuwe versie van ColdFusion verschenen waar Adobe allerlei extra beveiliging aan heeft toegevoegd. ColdFusion is een platform voor het ontwikkelen van dynamische websites en webapplicaties en was het afgelopen jaar regelmatig bij grote datalekken betrokken.
Zo werden een Amerikaanse rechtbank, PR Newswire en autofabrikant Citroen via ColdFusion-kwetsbaarheden aangevallen. Het ging in veel gevallen om versies die niet door beheerders gepatcht waren, hoewel er ook aanvallen voorkwamen waarvoor nog geen update beschikbaar was op het moment van de aanval.
Aan ColdFusion 11 dat deze week verscheen zijn verschillende beveiligingsmaatregelen toegevoegd. Zo zijn er verschillende nieuwe OWASP-tools die meer geïntegreerde beveiligingsfeatures moeten bieden. Ook zijn er flexibele veilige profielen, die beheerders in staat stellen om ColdFusion met of zonder standaard ingestelde beveiliging uit te rollen, of dit achteraf in te stellen. Bij versie 10 kon het achteraf niet meer worden veranderd.
Als derde punt wijst Adobe op vernieuwde APIs (Application Programming Interfaces) waaraan beveiliging is toegevoegd. Ontwikkelaars kunnen nu PBKDF2 gebruiken voor het hashen van wachtwoorden van gebruikers. Alle nieuwe opties zouden het eenvoudiger voor systeembeheerders moeten maken om hun ColdFusion-omgeving te beveiligen.
Deze posting is gelocked. Reageren is niet meer mogelijk.