Macromedia Dreamweaver远程用户数据库访问漏洞

漏洞信息详情

Macromedia Dreamweaver远程用户数据库访问漏洞

• CNNVD编号：CNNVD-200412-974
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1893
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2004-04-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  Macromedia

Dreamweaver是Macromedia公司开发和维护的一款流行的网页设计软件，可使用在Microsoft Windows操作系统下。
Dreamweaver远程数据库连接功能存在安全问题，远程攻击者可以利用这个漏洞访问数据库获得敏感信息。
Dreamweaver的远程数据库连接功能为了用于动态数据库驱动而安装的脚本存在问题，攻击者可以使用这些脚本发送SQL命令给服务程序，获得数据库服务器的控制权。
当用户在数据库连接对话框中指定\”Using Driver On Testing Server\”或
\”Using DSN on Testing Server\”，Dreamweaver自动上传文件到测试服务器允许Dreamweaver通过HTTP协议操作远程数据库，这允许Dreamweaver获得数据库信息来帮助用户建立在站点，但是这个文件可获得系统中定义的DSN信息，如果DSN和数据库没有密码保护，该可以发送SQL命令给数据库而获得敏感信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 客户不要在可对外访问的测试服务器上定义数据库连接，为了防止数据库未授权访问，必须进行密码保护，如果数据连接已经定义，使用Dreamweaver的删除连接脚本菜单命令删除文件。
厂商补丁：
Macromedia
———-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macromedia.com/” target=”_blank”>
http://www.macromedia.com/

来源: SECUNIA
名称: 11284
链接:http://secunia.com/advisories/11284

来源: XF
名称: dreamweaver-test-script-sql-injection(15721)
链接:http://xforce.iss.net/xforce/xfdb/15721

来源: BID
名称: 10036
链接:http://www.securityfocus.com/bid/10036

来源: www.nextgenss.com
链接:http://www.nextgenss.com/advisories/dreamweaver.txt

来源: www.macromedia.com
链接:http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html

来源: BUGTRAQ
名称: 20040403 [securityzone@macromedia.com: New Macromedia Security Zone Bulletin Posted]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108102481929451&w=2

来源：NSFOCUS
名称：6268
链接：http://www.nsfocus.net/vulndb/6268