发布日期：2000-12-12
更新日期：2000-12-12

受影响系统：

Allaire ColdFusion Server 4.5.1

描述：

---

ColdFusion Server发行时带有几个示例脚本程序，其中包括一个搜索引擎。这些都是可选的，
用户可以选择是否安装它们。

如果管理员在安装时允许安装搜索引擎脚本，就可能导致存在拒绝服务的漏洞。搜索引擎脚本
带有组件对搜索目录进行索引。这是个非常占用CPU时间的处理过程，只有当搜索引擎脚本检
测到目录未被索引时才执行这种操作。不幸的是，任何远程用户都可能通过web浏览器来执行
这个索引脚本。

在进行索引操作时，CPU占用率高达约70%。更糟的是，可以通过激活多个这样的索引请求来
使CPU占用率达到100%。耗尽系统资源之后ColdFusion Server将停止处理任何请求。为了
恢复正常功能必须重启该服务。

<来源：Niels Heinen(niels.heinen@ubizen.com) >




建议：

---

厂商补丁：

Allaire给出如下临时解决办法：
删除CFDOCS目录。一般是{webroot}/CFDOCS/目录。



浏览次数：5321
严重程度：0（网友投票）