Allaire ColdFusion index.cfm远程拒绝服务攻击漏洞-一一网

Allaire ColdFusion index.cfm远程拒绝服务攻击漏洞

4年前更新

1360

漏洞信息详情

Allaire ColdFusion index.cfm远程拒绝服务攻击漏洞

CNNVD编号：CNNVD-200006-028

危害等级：中危
CVE编号：
CVE-2000-0538
漏洞类型：

未知
发布时间：

2000-06-07
威胁类型：

远程
更新时间：

2005-05-02
厂商：

allaire
漏洞来源：
Stuart McClure※ st…

漏洞简介

Allaire ColdFusion是一种流行的Web功能扩展软件包，可以运行在Windows、HP-UX、Linux等多种平台上。
Allaire ColdFusion v4.5.1及其以前版本在处理口令验证请求过程中存在一个安全漏洞，如果在管理员登录页面的口令域里输入超过40000个字符，CPU占用率将达到100\\%，进程挂起，造成拒绝服务攻击。
登录页面表单默认会阻止你输入超过40000个字符，然而恶意用户可以下载页面到本地，修改后向ColdFusion服务器提交超过40000个字符。为了恢复正常功能，必须重启ColdFusion服务。
管理员登录页面可以通过如下链接获得：
http：//www.target.com/cfide/administrator/index.cfm
修改域尺寸和POST action，就允许提交超过40000个字符。

漏洞公告

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 备份所有数据，按如下链接文章提供的步骤修补：

http://www.allaire.com/Handlers/index.cfm?ID=10954&Method=Full” target=”_blank”>
http://www.allaire.com/Handlers/index.cfm?ID=10954&Method=Full
厂商补丁：
Allaire
——-
Allaire已经为此发布了一个安全公告(ASB00-14)以及相应补丁:

ASB00-14：Workaround available for Denial of Service attack against ColdFusion Administrator

链接：

补丁下载：

http://www.macromedia.com/support/coldfusion/” target=”_blank”>
http://www.macromedia.com/support/coldfusion/

参考网址

来源: XF
名称: coldfusion-parse-dos
链接:http://xforce.iss.net/static/4611.php

来源: BID
名称: 1314
链接:http://www.securityfocus.com/bid/1314

来源: ALLAIRE
名称: ASB00-14
链接:http://www.allaire.com/handlers/index.cfm?ID=16122&Method=Full

来源: OSVDB
名称: 3399
链接:http://www.osvdb.org/3399

来源: BUGTRAQ
名称: 20000607 New Allaire ColdFusion DoS
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=96045469627806&w=2

来源：NSFOCUS
名称：585
链接：http://www.nsfocus.net/vulndb/585

受影响实体

Allaire Coldfusion_server:4.5.1
Allaire Coldfusion_server:4.5
Allaire Coldfusion_server:4.0.1
Allaire Coldfusion_server:4.0
Allaire Coldfusion_server:3.12

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐