Adobe ColdFusion多个跨站脚本及无效日志漏洞

Adobe ColdFusion多个跨站脚本及无效日志漏洞

 
受影响系统:
Adobe ColdFusion MX 7.02
Adobe ColdFusion MX 7.01
Adobe ColdFusion MX 7.00
Adobe ColdFusion 8
描述:
——————————————————————————–
BUGTRAQ ID: 28205,28207
CVE(CAN) ID: CVE-2008-0643,CVE-2008-0644,CVE-2008-1203

ColdFusion MX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、Web Services和Microsoft.NET环境相集成。

如果ColdFusion应用的Application.cfm或Application.cfc包含有setEncoding函数的话,远程攻击者就可以通过提交恶意请求执行跨站脚本攻击。

ColdFusion没有正确地过滤某些CGI变量便返回给了用户,这允许远程攻击者通过篡改User Agent执行跨站脚本攻击,在用户浏览器会话中注入并执行任意HTML和脚本代码。

ColdFusion没有记录到管理界面失败的登录尝试,这可能便于攻击者执行暴力猜测攻击。

<*来源:Shigeyoshi Muraoka

链接:http://secunia.com/advisories/29332/
http://www.adobe.com/support/security/bulletins/apsb08-06.html
http://www.adobe.com/support/security/bulletins/apsb08-07.html
http://www.adobe.com/support/security/bulletins/apsb08-08.html
*>

建议:
——————————————————————————–
厂商补丁:

Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.adobe.com/support/coldfusion/ts/documents/kb403212/hf702-70734.zip
http://www.adobe.com/support/coldfusion/ts/documents/kb403070/chf8000003.zip
http://www.adobe.com/support/security/bulletins/downloads/CF8_APSB08-0_8.zip
http://www.adobe.com/support/security/bulletins/downloads/CFMX7_APSB08_-08.zip


原创文章,转载请注明: 转载自TAHO

本文链接地址: 《Adobe ColdFusion多个跨站脚本及无效日志漏洞》:http://taho.cc/1106

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注