发布日期：2007-04-10
更新日期：2007-04-12

受影响系统：

Adobe ColdFusion MX 7.02

描述：

---

BUGTRAQ  ID: 23405
CVE(CAN) ID: CVE-2007-1874

ColdFusion MX是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术，可以与XML、Web Services和Microsoft .NET环境相集成。

Adobe的补丁在设置目录访问权限时存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

Adobe安全公告APSB06-17中所提供补丁的目录结构中没有正确的设置目录权限。该补丁中的一个文档是从当前的Verity目录中获得的，而该文档中包含有多个完全可写的文件和目录，这可能允许攻击者替换或编辑受影响的文件，然后在下一次服务器重启获得提升的权限。

<*来源：Sean Larsson
        Hans Omli
  
  链接：http://secunia.com/advisories/24850/
        http://www.adobe.com/support/security/bulletins/apsb07-08.html
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=510
*>

建议：

---

临时解决方法：

* 将有漏洞脚本的权限更改为0755
* 将{cf_root}/verity/k2下0777的目录权限更改为0755

厂商补丁：

Adobe
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.adobe.com

浏览次数：2698
严重程度：0（网友投票）