Adobe发布了一个补丁,修复ColdFusion应用开发平台中的漏洞,漏洞将导致网站被入侵。
补丁通过关闭默认激活的上传功能维护ColdFusion的安全性,阻止攻击者执行网站攻击的企图。
根据Adobe的安全公告,漏洞存在于FCKeditor中,它是默认安装在ColdFusion 8中的。如果不打补丁,漏洞就会允许攻击者向任意目录上传文件,最终导致系统被威胁。
Adobe在公告中说:“Adobe将其作为严重问题,并建议受影响的用户修复他们的安装。”
已经出现了使用ColdFusion开发的一些网站受到有限攻击的报告。SANS Internet Storm Center(SANS ISC)上周报告了威胁网站的攻击者。
SANS ISC的操作人Bojan Zdrnja写到:“漏洞的安装允许攻击者上传ASP或者ColdFusion Shell,让他们可以进一步完全控制服务器。”
Adobe发布了热补丁修复这个问题。更新关闭了默认的上传功能,限制对FCKeditor文件管理器目录中的cfm文件的访问。使用ColdFusion管理员(ColdFusion Administrator)就可以配置补丁。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
《惊天魔盗团2》里有一个能黑一切电脑的芯片
入侵、监控、移动设备信息窃取、安保,这些关乎网络安全、信息安全元素的加入让魔盗团的力量玄乎其玄,“天眼”作为‘魔盗大本营’,代表的是正义的一方,但其凌驾于个人意愿的监控是否合理也有待商榷。
-
Eric Cole:并非僭越 CISO应该直接向CEO报告
Secure Anchor咨询公司创始人兼SANS研究所高级研究员Eric Cole博士倡导一种新的报告结构,即首席信息安全官向CEO报告,而不是CIO。
-
安全更新很困难 但不打补丁风险更大
近来,联想自动更新系统的恶意软件问题让一些人开始担心自动更新相关的风险。但专家称,现在的安全更新程序比以往都更好,而不修复漏洞的风险更大。