English

◀◁ 뒤로 취약점ID 21015 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에는 "Expression Evaluator"라 불리는 유틸리티가 설치된 Cold Fusion application 서버가 작동중이다. Expression Evaluator는 ColdFusion의 'expression evaluation feature'에 관한 사용방법을 사용자들에게 보여주기 위한 예제 스크립트이다. 그런데, 이 스크립트들 중 sendmail.cfm에는 외부의 Attacker가 서버내의 임의의 파일을 검색해 볼 수 있는 취약점이 존재한다. Attacker가 인수없이 sendmail.cfm를 호출하면 시스템의 date time stamp를 포함하여 디렉토리 구조를 보여준다. * 영향을 받는 플랫폼: Cold Fusion application 서버 해결책 1. 다음 사이트에서 Cold Fusion 최신 버전(4.0.1이상)으로 업데이트를 설치한다. http://www.adobe.com/support/coldfusion/downloads.html 2. 필요하지 않다면 /CFDOCS/expeval에 있는 프로그램들을 모두 삭제한다. 관련 URL CVE-1999-0455,CVE-1999-0477 (CVE) 관련 URL 115 (SecurityFocus) 관련 URL 1740 (ISS)