发布日期：2003-04-26
更新日期：2003-05-08

受影响系统：

Macromedia ColdFusion Server MX Professional
Macromedia ColdFusion Server MX Enterprise
Macromedia ColdFusion Server MX Developer
Macromedia ColdFusion Server MX 6.0

描述：

---

BUGTRAQ  ID: 7443

Macromedia Cold Fusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。

当Cold Fusion MX服务程序接收到畸形URL请求时会返回错误信息，远程攻击者可以利用这些信息进一步对系统进行攻击。

默认安装下，Macromedia ColdFusion MX服务程序在8500端口启动WEB服务(JRun)，用于管理用途，当服务器接收到 http://host:8500/CFIDE/probe.cfm 请求时，会返回包含MX服务器安装路径的错误信息，攻击者利用这一信息可以对系统进行进一步攻击。

<*来源：Network Intelligence India Pvt. Ltd （info@nii.co.in）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105156154716024&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Network Intelligence India Pvt. Ltd （info@nii.co.in）提供了如下测试方法：

提交如下请求：

http://host:8500/CFIDE/probe.cfm

会返回如下错误信息：

Error occured in:
C:\CFusionMX\wwwroot\CFIDE\probe.cfm:line56

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 更改ColdFusion服务器中管理控制台的'Debugging Settings'选项，这可以通过关闭'Enable Robust Exception Information'完成。

厂商补丁：

Macromedia
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macromedia.com/

浏览次数：3029
严重程度：0（网友投票）