发布日期:2010-01-29
更新日期:2010-02-01
受影响系统:
Adobe ColdFusion 9.0
描述:
BUGTRAQ ID: 38007
CVE ID: CVE-2010-0185
ColdFusion是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、Web Services和Microsoft.NET环境相集成。
ColdFusion的Solr服务中存在信息泄露漏洞,远程攻击者可以使用特制的URL从外部机器访问Solr服务所创建的集合,从中搜索和索引信息。
<*来源:Antero Ortiz
链接:
*>
建议:
临时解决方法:
* 禁止从外部访问Solr集合:
1. 打开安装目录下的jetty.xml文件。
2. 找到以下属性:
<Set name="port"><SystemProperty name="jetty.port" default="8983"/></Set>
3. 添加以下属性:
<Set name="Host"><SystemProperty name="jetty.host" default="127.0.0.1"/></Set>
4. 重启Solr服务。
厂商补丁:
Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
