Tags:
Node Thumbnail

Adobe ColdFusion เป็นเทคโนโลยีสำหรับสร้างเว็บไซต์-เว็บแอพอีกตัวหนึ่ง (แต่เป็นเทคโนโลยีที่ต่างไปจากพวก PHP/ASP/JSP โดยใช้ภาษา CFML และมีเซิร์ฟเวอร์-เครื่องมือ IDE ของตัวเอง)

ColdFusion ถูกสร้างขึ้นในปี 1995 โดยบริษัท Allaire จากนั้นโดน Macromedia ซื้อกิจการ (และโดน Adobe ซื้ออีกทีหนึ่งในปี 2005) ปัจจุบันอยู่ที่เวอร์ชัน 10 แล้ว (ออกเมื่อปี 2012 แต่ก็มีอัพเดตย่อยอยู่ตลอด)

แต่ล่าสุดเว็บไซต์ Krebs on Security รายงานข้อมูลว่าเว็บไซต์หลายแห่งที่สร้างด้วย ColdFusion ถูกแฮ็กผ่านช่องโหว่ที่ไม่ได้อัพเดตแพตซ์ และเว็บไซต์เหล่านี้ส่วนใหญ่เป็นเว็บขายสินค้าด้วย ทำให้ข้อมูลบัตรเครดิตของลูกค้าถูกขโมยไปด้วย

บริษัทที่เปิดเผยข้อมูลกับ Krebs ว่าถูกแฮ็กเป็นบริษัทขายหลอดไฟออนไลน์ 2 ราย ซึ่งทราบว่าตัวเองถูกแฮ็กจากบริษัทบัตรเครดิตอีกทอดหนึ่ง นอกจากนี้ยังมีข่าวว่าบริษัทยักษ์ใหญ่อย่าง Citroen ก็โดนแฮ็กจากช่องโหว่ลักษณะนี้เช่นกัน

ที่มา - Krebs on Security

Get latest news from Blognone

Comments

By: pinpan0304
iPhoneWindows PhoneAndroidWindows
on 19 March 2014 - 00:28 #688720

Adobe นี่โดนบ่อยแหะ

มี Business Catalyst ติดมากับ Creative Cloud เยอะเลย ไว้ใจได้ไหมหนอ...

By: lingjaidee
ContributoriPhoneAndroid
on 19 March 2014 - 03:45 #688781
By: McKay
ContributorAndroidWindowsIn Love
on 19 March 2014 - 10:40 #688849 Reply to:688781
McKay's picture

Brad Wood

I agree. This is less of a “ColdFusion Fail” and more of a “SysAdmin fail”. It sucks that CF had a couple big exploits that came out last year, but they were only only applicable to un-hardened servers and were patched within weeks by Adobe. ColdFusion E-mails you when new patches come out and visually alerts you in its admin interface. No need to pay a consulting company $6K, just check your mail and click the Update button!

Even so, I agree with outsourcing CC processing. Most companies just aren’t up to it. Stripe allows you to collect CC data right “in your site”, but it’s submitted straight to their servers over secure Ajax and never touches your servers.

Wil Genovese

Brad, that is only for ColdFusion 10 and up. ColdFusion 9 and below have a manual patch system that is rather convoluted and complex. Some of these servers that were exploited were ColdFusion 8 which is long past End of Life for updates. Many times the hosting company isn’t even applying the updates unless specifically asked and even then many hosting companies don’t have the technical expertise to apply the patches correctly. I know this from our experience in fixing servers that have been ‘patched’ by a hosting provider. The short story is that you should hire an expert to manage your servers no matter what platform you are using. ColdFusion has been taking a few punches to the face this past year, but so have all other platforms.

Adobe ขี้เกียจจ่ะ


Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: LazarusSP1
ContributoriPhone
on 19 March 2014 - 10:03 #688828

Adobe ไม่ค่อยมีคนดูแลเรื่อง Security และ ช่องโหว่ด้านความปลอดภัย ที่เป็นงานเลย ทั้งๆที่ก่อนหน้าก็โหว่มาหลายรอบ ไม่ว่า Flash หรือ Reader