发布日期：2003-07-08
更新日期：2003-07-15

受影响系统：

Macromedia JRun 4.0 SP1a
Macromedia JRun 4.0 SP1
Macromedia JRun 4.0
Macromedia JRun 3.1
Macromedia ColdFusion Server MX Professional
Macromedia ColdFusion Server MX Enterprise
Macromedia ColdFusion Server MX Developer
Macromedia JRun 3.0
    - IBM AIX 4.3
    - IBM AIX 4.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional
    - RedHat Linux 6.1
    - RedHat Linux 6.0
    - SGI IRIX 6.5
    - Sun Solaris 7.0
    - Sun Solaris 2.6

描述：

---

BUGTRAQ  ID: 8136

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。

Macromedia ColdFusion和JRun不正确处理URL中的空格编码，远程攻击者可以利用这个漏洞未授权获得.jsp等页面的脚本代码，造成敏感信息泄露。

ColdFusion MX和JRun 4.0在处理.cfm、.cfc、.cfml (ColdFusion MX)或.jsp (JRun)页面时如果用户在URL最后追加编码过的空格数据，会返回给用户包含源代码的信息，造成敏感信息泄露，攻击者可以利用这些信息进一步对系统进行攻击。

<*来源：Macromedia Security Bulletins
  
  链接：http://www.macromedia.com/devnet/security/security_zone/mpsb03-04.html
*>

建议：

---

厂商补丁：

Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia Patch mpsb03-04.zip
http://download.macromedia.com/pub/security/mpsb03-04.zip

浏览次数：3457
严重程度：0（网友投票）