中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
关于Adobe ColdFusion存在反序列化远程代码执行漏洞安全公告
来自:|时间:2017年10月26日【字号: 】 【打印】 【关闭

近日,国家信息安全漏洞共享平台(CNVD)收录了Adobe ColdFusion反序列化漏洞(CNVD-2017-30461,对应CVE-2017-11283),攻击者成功利用漏洞可导致敏感信息泄露及远程代码执行。

一、漏洞情况分析

ColdFusion,是Adobe旗下的一个动态Web服务器,其CFMLColdFusionMarkup Language)是一种程序设计语言,类似现在的JSP里的JSTLJSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

ColdFusion存在反序列化漏洞,其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务,且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作,攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行,并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。

CNVD对漏洞的综合评级均为“高危”。

二、漏洞影响范围

ColdFusion 11 Update 12及之前版本

ColdFusion 2016 release Update 4及之前版本

三、漏洞处置建议

根据官方发布的安全更新,建议升级最新补丁:不能及时升级补丁的,可以采用如下临时解决方案:

检查1099端口是否开放,如果开放则存在安全隐患,请及时关闭“Remote AdobeLiveCycle DataManagement access”服务。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页