Macromedia ColdFusion MX超大错误消息远程拒绝服务漏洞

漏洞信息详情

Macromedia ColdFusion MX超大错误消息远程拒绝服务漏洞

• CNNVD编号：CNNVD-200412-471
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2505
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2004-04-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-25
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  K. K. Mookhey※ cto…

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。
Macromedia ColdFusion MX在写超大错误消息时存在问题，远程攻击者可以利用这个漏洞对服务器进程拒绝服务攻击。
当ColdFusion MX服务器写带有超长字符串的错误消息到日志时，服务器内存使用会暴涨，并且直到服务器完成对此错误消息的写入操作。如果攻击者重复产生此消息，就可以消耗大量内存而造成拒绝服务。
要完成此漏洞，攻击者必须在处理CFM页面时产生错误，通过提交超长字符串作为GET或POST请求数据，传递给不能处理此数据类型的函数，当产生错误消息时可触发此漏洞。

厂商补丁：
Macromedia
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.macromedia.com/software/coldfusion/productinfo/upgrade/” target=”_blank”>
http://www.macromedia.com/software/coldfusion/productinfo/upgrade/

来源: BID
名称: 10163
链接:http://www.securityfocus.com/bid/10163

来源: XF
名称: coldfusion-file-upload-dos(15895)
链接:http://xforce.iss.net/xforce/xfdb/15895

来源: BUGTRAQ
名称: 20040417 Network Intelligence Advisory – Denial of Service Vulnerability in ColdFusion MX
链接:http://archives.neohapsis.com/archives/bugtraq/2004-04/0184.html

来源：NSFOCUS
名称：6340
链接：http://www.nsfocus.net/vulndb/6340