Macromedia Macromedia ColdFusion MX CFML源码泄露漏洞发布时间:2002-11-07 更新时间:2002-11-13 严重程度:中 威胁程度:远程非授权文件存取 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:6123 受影响系统 Macromedia ColdFusion Server MX Professional详细描述 当WEB服务程序配置成支持ColdFusion MX时,扩展名为.jsp、.cfm、.cfc和.cfml的文件都将由ColdFusion处理。如果这些文件扩展指定不正确,那么如果ColdFusion MX没有运行的情况下,WEB服务程序就会以静态文件方式提交这些类型文件,导致攻击者可以获得这些文件的源代码信息。 ColdFusion Install Kit工具在所有平台下都能正确设置这些扩展,然而手册不正确的忽略了Unix平台下的-map选项。 测试代码 无 解决方案 Marcomedia建议如下临时解决方案: 当使用wsconfig.jar配置ColdFusion服务器的时候,总是使用如下选项: -map .cfm,.cfc,.cfml,.jsp 相关信息 Macromedia Product Security Bulletin 相关主页:http://www.macromedia.com/v1/handlers/index.cfm?ID=23499 |
