发布日期：2002-12-11
更新日期：2002-12-18

受影响系统：

Macromedia JRun 4.0 SP1a
Macromedia JRun 4.0 SP1
Macromedia JRun 4.0
Macromedia ColdFusion Server MX 6.0

描述：

---

BUGTRAQ  ID: 6363

Macromedia JRun是一款Macromedia公司开发的Java应用服务器，提供快速可靠的J2EE兼容平台，而Macromedia ColdFusion是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术。可以与XML、Web Services和Microsoft .NET环境相集成。

Macromedia JRun/ColdFusion MX产品XML解析器在处理恶意消息时存在问题，远程攻击者可以利用这个漏洞使系统消耗大量CPU资源，产生拒绝服务。

攻击者可以发送特殊构建的消息给JRun和ColdFusion MX使用的SOAP接口，当XML解析器接收到这种消息时，由于无限循环消耗所有CPU资源而导致拒绝服务。

<*来源：Macromedia Bulletin
  
  链接：http://www.macromedia.com/v1/handlers/index.cfm?ID=23559
*>

建议：

---

厂商补丁：

Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia JRun 4.0 SP1a:

Macromedia Upgrade MPSB02-14_JRun.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-14_JRun.zip

Macromedia JRun 4.0 SP1:

Macromedia Upgrade MPSB02-14_JRun.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-14_JRun.zip

Macromedia JRun 4.0:

Macromedia Upgrade MPSB02-14_JRun.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-14_JRun.zip

Macromedia ColdFusion Server MX 6.0:

Macromedia Upgrade MPSB02-14_CFMX.zip
http://download.macromedia.com/pub/security/coldfusion/60/MPSB02-14_CFMX.zip

浏览次数：2726
严重程度：0（网友投票）