Adobe ColdFusion 任意文件读取和任意文件包含漏洞,澳门浦京娱乐场提供解决方案
发布时间 2020-03-203月18日,Adobe官方发布针对Adobe Coldfusion的安全更新补丁,编号为APSB20-16。补丁中包含澳门浦京娱乐场ADLab发现并第一时间提交给官方的Critical(危急)漏洞:Adobe ColdFusion 任意文件读取漏洞(CVE-2020-3761)和任意文件包含漏洞(CVE-2020-3794)。
本次漏洞与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。攻击者可通过向目标发送精心构造的AJP协议数据包读取目标服务器wwwroot目录下的任意文件,也可将目标服务器wwwroot及其子目录下的任意文件当作jsp文件来说明实行。若目标服务器下的文件可控,可进一步实现远程代码实行。
解决方案
? 升级最新补丁APSB20-16
https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
? 漏洞扫描
澳门浦京娱乐场天镜脆弱性扫描与管理系统V6.0于2020年3月19日紧急发布针对该漏洞的升级包,支撑对该漏洞进行检测,用户升级天镜漏扫产品漏洞库后即可对该漏洞进行扫描。
6070版本升级包为607000279,升级包下载地址:
/article/type/1/146.html
请天镜脆弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
? 产品检测与防护
由于以上两个漏洞与TOMCAT漏洞类似,同为AJP协议实现存在缺陷导致的参数可控,故已部署澳门浦京娱乐场IDS、IPS、WAF产品的客户无需升级即可有效检测或阻断攻击。