Adobe發佈帶外更新以修補ColdFusion零日

雷鋒網3月3日消息,Adobe ColdFusion Web應用程序被發現0Day漏洞,該漏洞允許任意代碼執行操作,目前已在野外被利用。

據悉,此次安全問題允許攻擊者繞過上傳文件的限制。為了利用它,對手必須能夠將可執行代碼上傳到web服務器上的文件目錄中。Adobe在其安全公告中說,代碼可以通過HTTP請求執行,當前更新的ColdFusion版本都會受到漏洞(CVE-2019-7816)的影響,而不管它們的平台是什麼。

負責報告漏洞的獨立顧問Charlie Arehart稱:「該漏洞發現在一名客戶的個人電腦主機中,熟練的攻擊者將能夠連接Adobe安全公告中的「點」,並找到一種利用該故障的方法。」

但是,這名顧問並沒有透漏黑客如何利用這一漏洞進行攻擊的詳細細節。他稱:「我擔心這些信息可能被未打補丁的服務器上的其他威脅行為者使用,當下讓人們實現這個修復是至關重要的。」

得到報告后,Adobe在幾天內發佈緊急預警,修復了該平台的這一關鍵漏洞。目前,防止漏洞攻擊有兩種方案:直接更新到該軟件的最新版本(目前尚不支持)或者為存儲上傳文件的目錄請求創建限制。開發人員還應該按照Adobe Coldfusion指南的建議修改代碼,以禁用可執行擴展,並自行檢查列表。

ColdFusion是一個動態Web服務器,其CFML(ColdFusion Markup Language)是一種程序設計語言,類似現在的JavaServer Page里的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司開發完成,在Allaire公司被 Macromedia公司收購以後推出了Macromedia ColdFusion 5.0,類似於其他的應用程序語言, cfm文件被編譯器翻譯為對應的 c++ 語言程序,然後運行並向瀏覽器返回結果。

參考來源:黑鳥


想在手機閱讀更多Adobe資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems