Adobe ColdFusion 2023 Updates: New Features, Enhancements, and Migration Strategies

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「Adobe ColdFusion」をはじめ、脆弱性6件に対する悪用が確認されているとして注意を呼びかけた。Apple製品、CMS、BIツールなども対象となっている。 現地時間1月8日に「悪用が確認された脆弱性カタログ（KEV）」へ6件の脆弱性を追加したもの。いずれも悪用が確認されており、広く注意を呼びかけたもので、米行政機関などでは一定期間内に対応する義務がある。 「Adobe ColdFusion」に関しては、2023年7月に緊急性が高い脆弱性として修正された脆弱性「CVE-2023-38203」「CVE-2023-29300」が同リストへ追加された。信頼できないデータをデシリアライズし、リモートよりコードを実行されるおそれがある。 また「macOS」や「iOS」などApple製品のフォント解析処理に明らかとなった脆弱性「CVE-2023-41990」を同カタログへ加えた。「watchOS」「tvOS」なども影響を受ける。 同脆弱性は、2023年1月から7月にかけてリリースした各製品のアップデートにて修正したとされているが、アドバイザリ公表当時は脆弱性について公表していなかった。 CVE番号が採番されたのは同年9月に入ってからで同月各製品のセキュリティアドバイザリに追記。iOSを標的とした攻撃が行われたことを明らかにした。同脆弱性の悪用についてはKasperskyが言及している。

【セキュリティ ニュース】脆弱性6件に対する攻撃に注意を喚起 - 米当局（1ページ目 / 全2ページ）：Security NEXT

Critical Adobe ColdFusion Flaw Added to CISA's Exploited Vulnerability Catalog

Source: https://thehackernews.com/2023/08/critical-adobe-coldfusion-flaw-added-to.html

CISA: Adobe ColdFusion flaw leveraged to access government servers (CVE-2023-26360)

http://securitytc.com/SznCmq

YouTube Video Summaries Enhanced by Eightify AI ChatGPT In an era where information inundates us at every turn, the art of distillation has become paramount. Imagine having the ability to swiftly extract the essence of lengthy YouTube videos, gaining a comprehensive understanding of their main points in a matter of moments. Enter Eightify AI ChatGPT, a revolutionary tool designed to reshape how we engage with online video content. Elevate Your Video Engagement With the advent of Eightify AI ChatGPT, delving into the heart of YouTube videos has never been easier. By seamlessly integrating with Chrome and Safari, this innovative extension empowers users to swiftly access condensed summaries of videos. The Chrome extension, offering unparalleled convenience, allows users to unlock key ideas instantaneously, eliminating the need to sift through extensive content. The Power of Summarization Dive deep into subjects spanning from business education to behavioral genetics, and from personal growth to AI trends. Eightify AI ChatGPT redefines the way you acquire knowledge from diverse sources. Whether it's insights from "Google Panics Over ChatGPT" by ColdFusion or personal musings in "If I Started a YouTube Channel in 2023, I'd Do This" by Ali Abdaal, the tool condenses content while preserving its essence. Crossing Boundaries and Saving Time Language barriers crumble as This AI ChatGPT presents summaries that transcend linguistic obstacles. Engage with content like "GPT, GPT-2, GPT-3 论文精读" by Mu Li, and seamlessly bridge the language gap. Decision-making accelerates as seen in "Sony XM4 vs XM5 | Which headphones are better?" by Mark Ellis Reviews, where This AI ChatGPT assists in swiftly evaluating options. In a world where information reigns supreme, Eightify AI ChatGPT emerges as the ultimate ally. It paves the way for efficient learning, decision-making, and idea extraction from an expansive range of YouTube videos. Experience the Future of Learning and Engagement with This AI ChatGPT. Install the Chrome extension now, and embrace a new dimension of efficiency and knowledge acquisition. Features Chrome and Safari Extensions: With our user-friendly Chrome and Safari extensions, accessing video summaries is as easy as a click. No more hassle, just efficiency. Quick Access to Key Ideas: Bid farewell to long-winded videos! this AI ChatGPT generates concise summaries that capture the main points of the video, ensuring you get the crucial information in a fraction of the time. Advantages Business Education Simplified: Stay ahead in the business world by swiftly grasping the core insights from videos like "Google Panics Over ChatGPT [The AI Wars Have Begun]" by ColdFusion. Optimize Personal Growth: Immerse yourself in personal development videos like "If I Started a YouTube Channel in 2023, I'd Do This" by Ali Abdaal, and accelerate your journey towards self-improvement. Decisiveness Made Easy: Make informed choices more efficiently after watching comparative videos such as "Sony XM4 vs XM5 | Which headphones are better?" by Mark Ellis Reviews. Benefits Time Efficiency: Get key takeaways without the time commitment of watching entire videos, allowing you to explore more topics in less time. Language Barrier Breakdown: Overcome language constraints with ease, as Eightify AI ChatGPT helps you comprehend videos like "GPT, GPT-2, GPT-3 论文精读【论文精读】" by Mu Li, even if they are not in your native language. Stay Trendy: Stay up-to-date with AI and GPT trends, expanding your knowledge effortlessly. Ready to revolutionize your YouTube experience? Try this AI ChatGPT today and unlock the potential of streamlined learning. Whether it's business insights, personal growth, or informed decisions, Eightify AI ChatGPT has you covered. Save time, absorb more, and make the most of your YouTube journey. Experience the future of video consumption!

Critical Adobe ColdFusion Flaw Added to CISA's Exploited Vulnerability Catalog

The Hacker News : The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added a critical security flaw in Adobe ColdFusion to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation. The vulnerability, cataloged as CVE-2023-26359 (CVSS score: 9.8), relates to a deserialization flaw present in Adobe ColdFusion 2018 (Update 15 and earlier) and ColdFusion 2021 ( http://dlvr.it/Sv02nK Posted by : Mohit Kumar ( Hacker )

Clase 05/05/2023

W3C

El World Wide Web Consortium (o W3C) es el organismo mundial encargado de desarrollar las tecnologías y protocolos que han hecho posible la Web que hoy conocemos, una Web única, universal y accesible por cualquier persona y desde cualquier dispositivo.

Inventado por la misma persona que invento la web, Tim Berners-Lee.

Es una organizacion dseecentralizada con cuatro sedes principales (EE.UU., Francia, Japón y China) y con presencia fisica en todas las regiones del mundo.

Los estándares que crea el W3C, son documentos con especificaciones técnicas —protocolos, lenguajes de marcado, buenas prácticas, etc.— y herramientas que se completamente abiertas y púbicas. Una gran diferencia con el resto de entidades similares que hacen estándares —por ejemplo, ISO, IEEE, OASIS— es que los estándares del W3C son gratuitos y están expuestos íntegramente en formato HTML en la Web.

facebook,google desde cuando opera

La web 2.0

El término Web 2.0 tiene un origen claro: fue utilizado por primera vez por O'Reilly Media (empresa conocida por su editorial de libros de tecnología) en una conferencia en octubre de 2004.

Se suele definir a la web 2.0 en que "se centro en aplicaciones web destianadas a los usuarios". La Web 2.0 implica la evolución  de las aplicaciones digitales hacía aplicaciones dirigidas al usuario final, que incluyen servicios como redes sociales, blogs wikis.

Web master

Un web master es una persona que maneja y gestiona un sitio Web,  aunque popularmente se conoce con este término como el dueño de un sitio web o el encargado de mantenerlo habilitado.

Entre las responsabilidades fundamentales de un webmaster, pueden estar incluidos la regulación y gestión de los derechos de acceso de los diferentes usuarios de un sitio web o sistema de gestión de contenidos. Suelen saber lenguajes de programacion como ColdFusion, JavaScript, JSP, .NET, Perl, PHP y Ruby.

Web 3.0

La web 3.0 es la tercera generacion de sercicios de internet para paginas web y aplicaciones. Su objetivo final es crear sitios web mas inteligentes y abiertos.

Todavia no esta implementada por lo que no hay una definicion clara. Se tarda 10 años para pasar de la web 1.0 a la 2.0, esto no quiere decir que haya que esperar poco tiempo hasta el proximo cambio sino que ya hay tecnologias que son mas de la tercera generacion pero aun no alcanzan su punto maximo.

Siri o Alexa son ejemplos de ka web 3.0, ambas funcionan con inteligencia artificial y reconocimiento de voz. Esta red aun esta desarrollandose y aun le falta un largo camino por recorrer.

Se cree que esta nueva web sera mas fiable, al ser descentralizada es posible que sea mas dificil que las grandes compañias tengan un control tan grande como hasta ahora en el internet.

Burbuja de las punto com

Burbuja puntocom es un término que se refiere a un período de crecimiento en los valores económicos de empresas vinculadas a Internet ocurrido entre 1997 y 2001.

El modelo de negocio que solían utilizar las empresas punto-com se basaba en el aprovechamiento de Internet para conseguir cuota de mercado, aunque inicialmente estas entidades no generasen beneficios. Estas empresas esperaban llegar a conseguir la fama necesaria para en un futuro, cubrir sus gastos y conseguir ganancias.

En marzo de 2000, en plena efervescencia de la burbuja de la puntocom, la revista Barron’s publicó una lista de 207 empresas que habían salido a cotizar recientemente. De las 207 empresas que conformaban la lista, hoy sólo quedan vivas unas 30 empresas independientes (el 16% del total).

Burbuja de los nft

Las ventas se desploman cuando el mercado decide que "nadie quiere un gorila con sombrero". Los visionarios tecnológicos estaban imaginando cómo se podría construir el metaverso sobre ellos.

Hay algunos que en el pico del mercado, compraban entre tres y cinco NFT todos los días y los vendían al día siguiente, duplicando su dinero, o incluso más. 

Otro de los problemas fue el precio de las transacciones, en la red de Ethereum, pasaron de costar de 5 - 10 dólares a 150, además del mal panorama en la economía mundial y la gran cantidad de estafadores que se encuentran en el sector fueron las razones principales para que explotara la burbuja de los activos no fungibles.

Blockchain

El Blockchain es una tecnología basada en una cadena de bloques de operaciones descentralizada y pública. Esta tecnología genera una base de datos compartida a la que tienen acceso sus participantes, los cuáles pueden rastrear cada transacción que hayan realizado. Es como un gran libro de contabilidad inmodificable y compartido que van escribiendo una gran cantidad de ordenadores de forma simultánea.

Cada vez que algún miembro de la red realiza una transacción digital, dicha transacción genera unos datos asociados que quedaran almacenados en uno de los bloques. Cuando ese bloque está completo de información, el bloque se acopla a la cadena de bloques ya existente o blockchain.

Tipos de servidores

Es un aparato informático que almacena, distribuye y suministra información. Los servidores funcionan basándose en el modelo “cliente-servidor”. El cliente puede ser tanto un ordenador como una aplicación que requiere información del servidor para funcionar. Por tanto, un servidor ofrecerá la información demandada por el cliente siempre y cuando el cliente esté autorizado. 

Los servidores mas conocidos son:

Servidor Web: almacena y organiza el contenido de las páginas web y se lo proporciona al usuario a través del navegador web del usuario. La transmisión de los datos se suele realizar con http (HyperText Transfer Protocol). 

DNS: son las siglas anglosajonas de Domain Name Server. Se encarga de relacionar una dirección de dominio (www.ejemplodominio.es) con su dirección IP correspondiente (00.000.000.00).

Proxy Server: es un servidor de puerta de entrada. Se encarga de conectar una red cliente (navegador web o aplicación) con un sistema externo para que se puede llevar a cabo la solicitud de conexión, mejor rendimiento y accesibilidad.

Servidor de correo electrónico: se encarga del flujo de correo electrónico de los usuarios, permitiendo que se almacene, envíe, reciba y reenvíe los e-mails.

Servidor FTP: el nombre procede de File Transfer Protocol, también conocido como protocolo de transferencia de archivos en español. Sirve para transferir archivos entre un cliente y un servidor.

El archivo de internet

Internet Archive -de ahora en más IA- es un archivo o biblioteca digital gestionada por una organización sin fines de lucro, creada por Brewster Kahle, dedicada a la preservación de archivos, capturas de sitios públicos de la web, recursos multimedia y software.

Los objetivos principales de esta biblioteca digital son los siguientes:

Guardar una copia de la totalidad del contenido presente internet para que el contenido creado perdure en el tiempo y sea accesible para todo el mundo.

Mantener la libertad en internet facilitando la circulación libre de la información.

Conseguir una internet libre y abierto para todo el mundo facilitando de este modo el acceso universal al conocimiento.

Mapa de internet

Un mapa de Internet es como cualquier otro mapa en función, ya que muestra la posición relativa de un objeto en función de otros objetos a su alrededor. Utiliza círculos para representar sitios web, que varían de acuerdo con el tráfico de su sitio web, y utiliza una presentación bidimensional de los conectores que vinculan los sitios web, que forman Internet en su conjunto. Aunque no es la única representación del internet existente.

Bibliografia

https://www.arimetrics.com/glosario-digital/webmaster

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

http://i.securitythinkingcap.com/SzlVXg

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

http://i.securitythinkingcap.com/Szkb5M

Adobe Rolls Out New Patches for Actively Exploited ColdFusion Vulnerability

Source: https://thehackernews.com/2023/07/adobe-rolls-out-new-patches-for.html

More info: https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html

Adobe Rolls Out New Patches for Actively Exploited ColdFusion Vulnerability

The Hacker News : Adobe has released a fresh round of updates to address an incomplete fix for a recently disclosed ColdFusion flaw that has come under active exploitation in the wild. The critical shortcoming, tracked as CVE-2023-38205 (CVSS score: 7.5), has been described as an instance of improper access control that could result in a security bypass. It impacts the following versions: ColdFusion 2023 (Update http://dlvr.it/SsRn7P Posted by : Mohit Kumar ( Hacker )

Adobe ColdFusion vulnerabilities exploited to deliver web shells (CVE-2023-29298, CVE-2023-38203)

http://i.securitythinkingcap.com/SsMYsq

Prevent and detect Adobe ColdFusion exploitation (CVE-2023-26360, CVE-2023-26359)

http://i.securitythinkingcap.com/SlzB7V

CISA Issues Urgent Warning: Adobe ColdFusion Vulnerability Exploited in the Wild

The Hacker News : The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on March 15 added a security vulnerability impacting Adobe ColdFusion to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation. The critical flaw in question is CVE-2023-26360 (CVSS score: 8.6), which could be exploited by a threat actor to achieve arbitrary code execution. "Adobe ColdFusion http://dlvr.it/SkyvrC Posted by : Mohit Kumar ( Hacker )