英國倫敦滲透測試公司ProCheckUp在Adobe公司的ColdFusion編程語言中發(fā)現(xiàn)了一個漏洞，該漏洞使成千上萬個公司面臨著攻擊的威脅。

ProCheckUp公司的研究員通過利用在ColdFusion Administrator（ColdFusion服務器的管理項目）中發(fā)現(xiàn)的目錄遍歷（directory traversal）和文件檢索漏洞，能夠從正在運行ColdFusion的服務器上訪問文件（包括用戶名和密碼）。不需要知道管理密碼，標準的Web瀏覽器就可被用來執(zhí)行該攻擊。

ProCheckUp管理經理Richard Brain說攻擊者能夠利用該漏洞來從服務器上竊取文件，獲得安全領域的訪問權限，甚至能夠修改文件內容，或關閉網站或應用程序。

據Adobe官方網站的報道，美國銀行、JPMorgan Chase公司、美國聯(lián)邦儲備銀行、美國參議院以及賽門鐵克和邁克菲公司都采用了ColdFusion。

Brain說他的研究顯示大概有一千萬到兩千萬個網站是使用ColdFusion編寫的，并配備使用ColdFusion管理頁面。Brain說，“根據我們的調查，35%到40%使用ColdFusion的公司都暴露了其管理頁面，導致了其他人能夠讀取文件服務器上的文件?！?/P>

ProCheckUp在今年四月向Adobe報告了該漏洞，Adobe公司在8月10日發(fā)布了補丁。Procheckup已經發(fā)布了關于這個漏洞的安全咨文，并將在7天后發(fā)布實際的利用代碼，使管理員能夠應用該補丁。

但Brain警告說Adobe的補丁適用于ColdFusion 8和9，大多數(shù)用戶仍然在使用ColdFusion 5、6和7，針對這幾個版本的補丁還未發(fā)布。

“這是一個很大的漏洞，如果這個漏洞被利用，這將導致一千萬到兩千萬個網站受到損害?！盉rain說，“我建議使用ColdFusion 7及以下版本的用戶禁止訪問ColdFusion管理員目錄功能。這就意味著要改變Web服務器控制臺設置，以防止用戶對CFIDE的訪問。 ”

【編輯推薦】

1. 推出Firefox插件防范Adobe Flash文件漏洞
2. 八月十六日之后Adobe Reader溢出漏洞將獲得緊急補丁