发布日期：2006-10-05
更新日期：2006-10-13

受影响系统：

Adobe ColdFusion MX 7.02
Adobe ColdFusion MX 7.01
Adobe ColdFusion MX 7.00

描述：

---

BUGTRAQ  ID: 20431
CVE(CAN) ID: CVE-2006-3978

ColdFusion MX是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术，可以与XML、Web Services和Microsoft.NET环境相集成。

ColdFusion所安装的第三方Verity库存在多个输入验证错误，本地攻击者可以通过向该库发布特殊命令导致以本地系统权限运行这些命令。默认下这个库是以本地系统帐号运行的。

<*来源：Information Risk Management Plc. （http://www.irmplc.com/）
  
  链接：http://secunia.com/advisories/22312/
        http://www.adobe.com/support/security/bulletins/apsb06-17.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用Verity库。

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_windows.zip
http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_linux.tar.gz
http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_solaris.tar.gz

浏览次数：2813
严重程度：0（网友投票）