Macromedia ColdFusion 示例程序远程漏洞
发布日期:2001-08-07
更新日期:2001-08-08
受影响系统:
Macromedia ColdFusion Server 4.x
- Microsoft Windows NT
- Microsoft Windows 2000
- Sun Solaris 2.x
- HP HP-UX
- Linux
不受影响系统:
Macromedia ColdFusion Server 5.0
描述:
CVE CAN ID : CAN-2001-0535
ColdFusion 是Macromedia公司开发的一套企业级应用软件,用来对Internet Web站点进行
开发、维护、管理。它的4.x版本所带的一些示例、演示程序存在一些安全问题,允许远程
攻击者以授权用户身份在ColdFusion运行的主机上执行任意命令。
ColdFusion带了一些帮助程序用来使用户初步了解ColdFusion的一些特色。它们可以通过
Web接口来访问。这些程序缺省并没有被安装。其中有两个示例程序是有安全问题的。
它们已经内置了一个安全机制:不允许来自ColdFusion服务器以外的主机直接访问。
但是远程攻击者很容易通过伪造请求来源来绕过这种限制。
由于这些程序可以象CGI程序那样工作,因此攻击者可能利用这些有问题的示例程序创建、
浏览文件或者执行任意命令。
只有手工安装了这些示例程序的系统才受影响。
<*来源:(ISS) X-Force (
xforce@iss.net)
ISS Security Advisory:
http://xforce.iss.net/alerts/advise92.php
*>
建议:
临时解决方法:
如果您已经手工安装了示例程序,NSFOCUS建议您立刻卸载或者删除这些程序。这些示例程
序在/CFDOCS/exampleapps目录下,您可以完全删除/CFDOCS/目录。
厂商补丁:
Macromedia 已经得知此问题,并已经为此发布了一个安全公告:
http://www.allaire.com/Handlers/index.cfm?ID=21700
但是Macromedia不会为此提供补丁,因为这些示例程序不应该安装在投入实际使用的ColdFusion
服务器上。Macromedia建议用户删除/CFDOCS/目录以消除安全隐患。
浏览次数:7122
严重程度:0(网友投票)