Allaire ColdFusion 4.0x CFCACHE功能泄露信息漏洞

漏洞信息详情

Allaire ColdFusion 4.0x CFCACHE功能泄露信息漏洞

• CNNVD编号：CNNVD-200001-014
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2000-0057
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2000-01-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  allaire
• 漏洞来源：
  Allaire Security B…

Allaire ColdFusion是一个用来增强Web交互功能的组件。
ColdFusion 4.x包含一个叫做CFCACHE的功能，它通过储存HTML处理CFM页的输出来提高服务器的性能。
当CFCACHE标签处理CFM页面时，它创建一些临时文件，其中一些文件是.tmp文件，其中包含了当前的HTML输出。同时它也创建一个名为cfcache.map的文件，其中包含了到.tmp文件的指针，内容有绝对路径、时间信息和其他URL信息。这些信息如果暴露出来可以造成潜在的危害。
这些文件都放在同一个目录，并且可以通过外部的URL进行远程访问。

厂商补丁：
Allaire
——-
Allaire已经发布了一个新的CFCACHE.CFM来补救这个问题：

http://download.allaire.com/AllaireSecurityBulletin(ASB00-03)New4.0xCfcache.zip” target=”_blank”>
http://download.allaire.com/AllaireSecurityBulletin(ASB00-03)New4.0xCfcache.zip

新的.cfm已经包含在ColdFusion 4.5版中，其允许管理员指定.tmp和cfcache.map的位置。

来源: ALLAIRE
名称: ASB00-03
链接:http://www.allaire.com/handlers/index.cfm?ID=13978&Method=Full

来源: BID
名称: 917
链接:http://www.securityfocus.com/bid/917

来源：NSFOCUS
名称：232
链接：http://www.nsfocus.net/vulndb/232