有声小说下载,大主宰天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

滲透測試公司發(fā)現(xiàn)ColdFusion管理頁漏洞

英國倫敦滲透測試公司ProCheckUp在Adobe公司的ColdFusion編程語言中發(fā)現(xiàn)了一個(gè)漏洞，該漏洞使成千上萬個(gè)公司面臨著攻擊的威脅。

創(chuàng)新互聯(lián)專業(yè)提供成都主機(jī)托管四川主機(jī)托管成都服務(wù)器托管四川服務(wù)器托管，支持按月付款！我們的承諾：貴族品質(zhì)、平民價(jià)格，機(jī)房位于中國電信/網(wǎng)通/移動(dòng)機(jī)房，四川電信科技城機(jī)房服務(wù)有保障！

ProCheckUp公司的研究員通過利用在ColdFusion Administrator（ColdFusion服務(wù)器的管理項(xiàng)目）中發(fā)現(xiàn)的目錄遍歷（directory traversal）和文件檢索漏洞，能夠從正在運(yùn)行ColdFusion的服務(wù)器上訪問文件（包括用戶名和密碼）。不需要知道管理密碼，標(biāo)準(zhǔn)的Web瀏覽器就可被用來執(zhí)行該攻擊。

ProCheckUp管理經(jīng)理Richard Brain說攻擊者能夠利用該漏洞來從服務(wù)器上竊取文件，獲得安全領(lǐng)域的訪問權(quán)限，甚至能夠修改文件內(nèi)容，或關(guān)閉網(wǎng)站或應(yīng)用程序。

據(jù)Adobe官方網(wǎng)站的報(bào)道，美國銀行、JPMorgan Chase公司、美國聯(lián)邦儲(chǔ)備銀行、美國參議院以及賽門鐵克和邁克菲公司都采用了ColdFusion。

Brain說他的研究顯示大概有一千萬到兩千萬個(gè)網(wǎng)站是使用ColdFusion編寫的，并配備使用ColdFusion管理頁面。Brain說，“根據(jù)我們的調(diào)查，35%到40%使用ColdFusion的公司都暴露了其管理頁面，導(dǎo)致了其他人能夠讀取文件服務(wù)器上的文件?！?/p>

ProCheckUp在今年四月向Adobe報(bào)告了該漏洞，Adobe公司在8月10日發(fā)布了補(bǔ)丁。Procheckup已經(jīng)發(fā)布了關(guān)于這個(gè)漏洞的安全咨文，并將在7天后發(fā)布實(shí)際的利用代碼，使管理員能夠應(yīng)用該補(bǔ)丁。

但Brain警告說Adobe的補(bǔ)丁適用于ColdFusion 8和9，大多數(shù)用戶仍然在使用ColdFusion 5、6和7，針對(duì)這幾個(gè)版本的補(bǔ)丁還未發(fā)布。

“這是一個(gè)很大的漏洞，如果這個(gè)漏洞被利用，這將導(dǎo)致一千萬到兩千萬個(gè)網(wǎng)站受到損害。”Brain說，“我建議使用ColdFusion 7及以下版本的用戶禁止訪問ColdFusion管理員目錄功能。這就意味著要改變Web服務(wù)器控制臺(tái)設(shè)置，以防止用戶對(duì)CFIDE的訪問。 ”

網(wǎng)站名稱：滲透測試公司發(fā)現(xiàn)ColdFusion管理頁漏洞
轉(zhuǎn)載來于：http://m.fisionsoft.com.cn/article/djpgsec.html

新聞中心

其他資訊