ColdFusion DOS设备文件请求导致信息泄露漏洞

漏洞信息详情

ColdFusion DOS设备文件请求导致信息泄露漏洞

• CNNVD编号：CNNVD-200206-049
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0576
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-04-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  allaire
• 漏洞来源：
  Peter Gründl※ pgru…

Allaire Macromedia ColdFusion是一款WEB应用服务程序，可以运行在Microsoft Windows操作系统下。
ColdFusion服务程序对客户端请求的DOS设备文件处理存在漏洞，可以导致攻击者获得系统敏感信息。
攻击者可以通过请求不存在的.cfm或者.dbm文件，就可以导致ColdFusion服务程序返回包含Web ROOT路径的错误信息。攻击者可以根据此信息对服务做进一步的攻击。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在Windows 2000系统下，请按照如下方法开启on “Check that file exists”:

1、打开Management console

2、点击”Internet Information Services”

3、在website上右击并选择”Properties”

4、选择”Home Directory”

5、点击”Configuration”

6、选择”.cfm”

7、选择”Edit”

8、选择”Check that file exists”

9、同样方法对”.dbm”进行处理。
厂商补丁：
Allaire
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.allaire.com” target=”_blank”>
http://www.allaire.com

来源: BID
名称: 4542
链接:http://www.securityfocus.com/bid/4542

来源: www.macromedia.com
链接:http://www.macromedia.com/v1/handlers/index.cfm?ID=22906

来源: XF
名称: coldfusion-dos-device-path-disclosure(8866)
链接:http://www.iss.net/security_center/static/8866.php

来源: OSVDB
名称: 3337
链接:http://www.osvdb.org/3337

来源: BUGTRAQ
名称: 20020418 KPMG-2002013: Coldfusion Path Disclosure
链接:http://online.securityfocus.com/archive/1/268263

来源: VULNWATCH
名称: 20020418 [VulnWatch] KPMG-2002013: Coldfusion Path Disclosure
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0028.html