취약점ID |
21259 |
위험도 |
30 |
포트 |
80, ... |
프로토콜 |
TCP |
분류 |
CGI |
상세설명 |
해당 ColdFusion 서버에 있는 CGI, viewexample.cfm은 원격지 사용자들이 임의의 CFM 파일 소스를 볼 수 있게 해 준다. Macromedia ColdFusion은 웹 어플리케이션 서버이다. Windows 시스템의 ColdFusion Server 4.0 이하 버전들에 있는 예제 프로그램인 'viewexample.cfm'은 원격지의 공격자들이 'Tagname' 파라미터에 대한 인수로써 CFM 파일명을 명기함으로써 시스템에 있는 임의의 CFM 파일들을 읽어갈 수 있다. 이것은 공격자가 소스코드에 포함되어 있는 사용자명 그리고 패스워드와 같은 중요한 정보를 얻어갈 수 있게 해 준다.
* 영향을 받는 플랫폼: ColdFusion Server 4.0 이하 버전들 Windows Any version |
해결책 |
다음 사이트를 참조하여 최신 버전의 ColdFusion으로 업그레이드 해야 한다. http://www.adobe.com/products/coldfusion-family.html
Macromedia 사는 /CFDOCS 디렉토리 전체 트리(tree)가 서비스용 서버들에서는 삭제하여야 하며, 단지 잠재적으로 위험한 네트워크들에 노출되지 않는 개발용 장비들에 대해서만 설치할 것을 권고한다. 특히, /CFDOCS/exampleapps 디렉토리에 저장된 예제 어플리케이션들은 제거하여야 한다. |
관련 URL |
CVE-1999-0923 (CVE) |
관련 URL |
(SecurityFocus) |
관련 URL |
1741 (ISS) |
|