| 취약점ID |
21259 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 ColdFusion 서버에 있는 CGI, viewexample.cfm은 원격지 사용자들이 임의의 CFM 파일 소스를 볼 수 있게 해 준다. Macromedia ColdFusion은 웹 어플리케이션 서버이다. Windows 시스템의 ColdFusion Server 4.0 이하 버전들에 있는 예제 프로그램인 'viewexample.cfm'은 원격지의 공격자들이 'Tagname' 파라미터에 대한 인수로써 CFM 파일명을 명기함으로써 시스템에 있는 임의의 CFM 파일들을 읽어갈 수 있다. 이것은 공격자가 소스코드에 포함되어 있는 사용자명 그리고 패스워드와 같은 중요한 정보를 얻어갈 수 있게 해 준다.
* 영향을 받는 플랫폼:
ColdFusion Server 4.0 이하 버전들
Windows Any version |
| 해결책 |
다음 사이트를 참조하여 최신 버전의 ColdFusion으로 업그레이드 해야 한다.
http://www.adobe.com/products/coldfusion-family.html
Macromedia 사는 /CFDOCS 디렉토리 전체 트리(tree)가 서비스용 서버들에서는 삭제하여야 하며, 단지 잠재적으로 위험한 네트워크들에 노출되지 않는 개발용 장비들에 대해서만 설치할 것을 권고한다. 특히, /CFDOCS/exampleapps 디렉토리에 저장된 예제 어플리케이션들은 제거하여야 한다. |
| 관련 URL |
CVE-1999-0923 (CVE) |
| 관련 URL |
(SecurityFocus) |
| 관련 URL |
1741 (ISS) |
|
