安全研究
安全漏洞
ColdFusion示例脚本的拒绝服务漏洞
发布日期:2000-12-12
更新日期:2000-12-12
受影响系统:
Allaire ColdFusion Server 4.5.1
描述:
ColdFusion Server发行时带有几个示例脚本程序,其中包括一个搜索引擎。这些都是可选的,
用户可以选择是否安装它们。
如果管理员在安装时允许安装搜索引擎脚本,就可能导致存在拒绝服务的漏洞。搜索引擎脚本
带有组件对搜索目录进行索引。这是个非常占用CPU时间的处理过程,只有当搜索引擎脚本检
测到目录未被索引时才执行这种操作。不幸的是,任何远程用户都可能通过web浏览器来执行
这个索引脚本。
在进行索引操作时,CPU占用率高达约70%。更糟的是,可以通过激活多个这样的索引请求来
使CPU占用率达到100%。耗尽系统资源之后ColdFusion Server将停止处理任何请求。为了
恢复正常功能必须重启该服务。
<来源:Niels Heinen(
niels.heinen@ubizen.com) >
建议:
厂商补丁:
Allaire给出如下临时解决办法:
删除CFDOCS目录。一般是{webroot}/CFDOCS/目录。
浏览次数:5334
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |