发布日期：2003-07-05
更新日期：2003-07-10

受影响系统：

Macromedia ColdFusion Server MX Professional
Macromedia ColdFusion Server MX Enterprise
Macromedia ColdFusion Server MX Developer
Macromedia ColdFusion Server MX 6.0

描述：

---

BUGTRAQ  ID: 8110

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。

ColdFusion MX的默认RDS服务不需要密码验证，远程攻击者可以利用这个漏洞未授权访问服务器。

ColdFusion RDS允许开发者安全的访问远程文件和数据资源，及调试CFML代码。开发者可以使用RDS通过ColdFusion Studio、Homesite+和Dreamweaver MX访问远程开发服务器上的文件和数据库。在CFMX下，RDS是运行在CF应用服务帐户上下文的Java Servlet。如果正确配置RDS，则需要密码来验证远程的开发者访问。但是默认情况下，RDS不需要任何密码进行验证，任意用户使用RDS兼容的开发应用程序，就可以连接访问运行RDS的CF服务器。

<*来源：rs2112 （rs2112@hushmail.com）
  
  链接：http://sec.angrypacket.com/advisories/0006_AP.CF-rds-dump.txt
*>

建议：

---

厂商补丁：

Macromedia
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macromedia.com/

浏览次数：2943
严重程度：0（网友投票）