漏洞信息详情

Macromedia Dreamweaver远程用户数据库访问漏洞

漏洞简介

Dreamweaver是Macromedia公司开发和维护的一款流行的网页设计软件,可使用在Microsoft Windows操作系统下。 Dreamweaver远程数据库连接功能存在安全问题,远程攻击者可以利用这个漏洞访问数据库获得敏感信息。 Dreamweaver的远程数据库连接功能为了用于动态数据库驱动而安装的脚本存在问题,攻击者可以使用这些脚本发送SQL命令给服务程序,获得数据库服务器的控制权。 当用户在数据库连接对话框中指定"Using Driver On Testing Server"或 "Using DSN on Testing Server",Dreamweaver自动上传文件到测试服务器允许Dreamweaver通过HTTP协议操作远程数据库,这允许Dreamweaver获得数据库信息来帮助用户建立在站点,但是这个文件可获得系统中定义的DSN信息,如果DSN和数据库没有密码保护,该可以发送SQL命令给数据库而获得敏感信息。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 客户不要在可对外访问的测试服务器上定义数据库连接,为了防止数据库未授权访问,必须进行密码保护,如果数据连接已经定义,使用Dreamweaver的删除连接脚本菜单命令删除文件。 厂商补丁: Macromedia ---------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.macromedia.com/

参考网址

来源: SECUNIA 名称: 11284 链接:http://secunia.com/advisories/11284 来源: XF 名称: dreamweaver-test-script-sql-injection(15721) 链接:http://xforce.iss.net/xforce/xfdb/15721 来源: BID 名称: 10036 链接:http://www.securityfocus.com/bid/10036 来源: www.nextgenss.com 链接:http://www.nextgenss.com/advisories/dreamweaver.txt 来源: www.macromedia.com 链接:http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html 来源: BUGTRAQ 名称: 20040403 [securityzone@macromedia.com: New Macromedia Security Zone Bulletin Posted] 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108102481929451&w=2 来源:NSFOCUS 名称:6268 链接:http://www.nsfocus.net/vulndb/6268

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多