Adobe ColdFusion Solr服务信息泄露漏洞

发表评论 (0) 查看评论

受影响系统:

Adobe ColdFusion 9.0

描述:

BUGTRAQ  ID: 38007
CVE ID: CVE-2010-0185

ColdFusion是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、Web Services和Microsoft.NET环境相集成。

ColdFusion的Solr服务中存在信息泄露漏洞,远程攻击者可以使用特制的URL从外部机器访问Solr服务所创建的集合,从中搜索和索引信息。

<*来源:Antero Ortiz
  
  链接:http://www.adobe.com/support/security/bulletins/apsb10-04.html
        http://kb2.adobe.com/cps/807/cpsid_80719.html
*>

建议:

临时解决方法:

* 禁止从外部访问Solr集合:

1. 打开安装目录下的jetty.xml文件。

2. 找到以下属性:
<Set name="port"><SystemProperty name="jetty.port" default="8983"/></Set>

3. 添加以下属性:
<Set name="Host"><SystemProperty name="jetty.host" default="127.0.0.1"/></Set>

4. 重启Solr服务。

厂商补丁:

Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://kb2.adobe.com/cps/807/cpsid_80719.html

发表评论?

0 条评论。

发表评论