English

◀◁ 뒤로 취약점ID 22215 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 ColdFusion MX 서버는 RDS 서비스를 통한 다중의 취약점들을 가지고 있다. ColdFusion RDS는 개발자들이 원격지 파일과 데이터 소스들, 그리고 Debug CFML 코드를 안전하게 액세스할 수 있도록 해 준다. 개발자들은 ColdFusion Studio, Homesite+, 그리고 Dreamweaver MX를 통해 RDS를 사용하여 HTTP 접속을 이용한 원격지 ColdFusion 개발 서버에 있는 파일들과 데이터베이스들을 액세스할 수 있다. 적절하게 설정되어 있다면 RDS는 원격지 개발자를 인증할 수 있는 패스워드를 필요로 한다. 첫번째 취약점은 원격지의 사용자가 ColdFusion 서버에 있는 임의의 파일을 (Put 그리고 Get) 액세스하여 취약한 웹 사이트의 자원들을 재설정할 수 있다는 것이다. 두번째 취약점은 디폴트로 RDS는 인증을 위한 패스워드를 필요로 하지 않는 것(Null 패스워드)이다. 이 때문에 RDS와 호환하는 개발 어플리케이션을 가진 임의의 사용자가 패스워드 없이 인증을 받아 RDS가 작동하는 ColdFusion 서버에 접속할 수 있다는 것이다. 세번째 취약점은 RDS 패스워드이 설정되어 있을 때, 패스워드가 암호화되지 않은 텍스트로 전송되어 진다는 것이다. * 참고 사이트: http://sec.angrypacket.com/advisories/0006_AP.CF-rds-dump.txt http://www.securitytracker.com/alerts/2003/Jul/1007124.html * 영향을 받는 플랫폼 Macromedia ColdFusion Server MX Professional Macromedia ColdFusion Server MX Enterprise Macromedia ColdFusion Server MX Developer Macromedia ColdFusion Server MX 6.0 Microsoft Windows Any version 해결책 2014년 6월 현재로써는 패치나 업그레이드가 나와있지 않다. 관련 URL (CVE) 관련 URL 8109,8110 (SecurityFocus) 관련 URL 12569 (ISS)