发布日期：2004-04-02
更新日期：2004-04-07

受影响系统：

Macromedia Dreamweaver Ultradev 4.0
Macromedia Dreamweaver MX 6.1
Macromedia Dreamweaver MX 6.0
Macromedia Dreamweaver MX 2004

描述：

---

BUGTRAQ  ID: 10036
CVE(CAN) ID: CVE-2004-1893

Dreamweaver是Macromedia公司开发和维护的一款流行的网页设计软件，可使用在Microsoft Windows操作系统下。

Dreamweaver远程数据库连接功能存在安全问题，远程攻击者可以利用这个漏洞访问数据库获得敏感信息。

Dreamweaver的远程数据库连接功能为了用于动态数据库驱动而安装的脚本存在问题，攻击者可以使用这些脚本发送SQL命令给服务程序，获得数据库服务器的控制权。

当用户在数据库连接对话框中指定"Using Driver On Testing Server"或
"Using DSN on Testing Server"，Dreamweaver自动上传文件到测试服务器允许Dreamweaver通过HTTP协议操作远程数据库，这允许Dreamweaver获得数据库信息来帮助用户建立在站点，但是这个文件可获得系统中定义的DSN信息，如果DSN和数据库没有密码保护，该可以发送SQL命令给数据库而获得敏感信息。

<*来源：Macromedia
  
  链接：http://www.securityfocus.com/advisories/6510
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 客户不要在可对外访问的测试服务器上定义数据库连接，为了防止数据库未授权访问，必须进行密码保护，如果数据连接已经定义，使用Dreamweaver的删除连接脚本菜单命令删除文件。

厂商补丁：

Macromedia
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macromedia.com/

浏览次数：2864
严重程度：0（网友投票）