近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Adobe ColdFusion反序列化漏洞（CNVD-2017-30461，對(duì)應(yīng)CVE-2017-11283），攻擊者成功利用漏洞可導(dǎo)致敏感信息泄露及遠(yuǎn)程代碼執(zhí)行。

一、漏洞情況分析

ColdFusion，是Adobe旗下的一個(gè)動(dòng)態(tài)Web服務(wù)器，其CFML（ColdFusionMarkup Language）是一種程序設(shè)計(jì)語(yǔ)言，類(lèi)似現(xiàn)在的JSP里的JSTL（JSP Standard Tag Lib），從1995年開(kāi)始開(kāi)發(fā)，其設(shè)計(jì)思想被一些人認(rèn)為非常先進(jìn)，被一些語(yǔ)言所借鑒。

ColdFusion存在反序列化漏洞，其在開(kāi)啟“RemoteAdobe LiveCycle Data Management access”功能的條件下會(huì)開(kāi)啟rmiregistery服務(wù)，且會(huì)在本地監(jiān)聽(tīng)1099端口。由于程序未對(duì)不可信的數(shù)據(jù)做校驗(yàn)就進(jìn)行了反序列化的操作，攻擊者可通過(guò)RMI協(xié)議向Adobe ColdFusion服務(wù)端發(fā)送精心構(gòu)造的反序列化代碼來(lái)觸發(fā)漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，并且在返回?cái)?shù)據(jù)包中泄漏ColdFusion路徑以及jar包等敏感數(shù)據(jù)。

二、漏洞影響范圍

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。漏洞影響范圍：

ColdFusion 11 Update 12及之前版本

ColdFusion （2016 release） Update 4及之前版本

三、處置建議

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心針對(duì)上述漏洞建議如下：

1、根據(jù)官方發(fā)布的安全更新，建議升級(jí)最新補(bǔ)?。?/span>

ColdFusion 11 Update13:

http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html

ColdFusion (2016 release) Update5:

http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html

2、不能及時(shí)升級(jí)補(bǔ)丁的，可以采用如下臨時(shí)解決方案：

檢查1099端口是否開(kāi)放，如果開(kāi)放則存在安全隱患，請(qǐng)及時(shí)關(guān)閉“Remote AdobeLiveCycle DataManagement access”服務(wù)。

                                    網(wǎng)絡(luò)管理中心

                                  2017年10月19日