Adobe ColdFusion Solr服务信息泄露漏洞

天下无敌。

发布日期：2010-01-29
更新日期：2010-02-01

受影响系统：
Adobe ColdFusion 9.0
描述：
BUGTRAQ  ID: 38007
CVE ID: CVE-2010-0185

ColdFusion是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术，可以与XML、Web Services和Microsoft.NET环境相集成。

ColdFusion的Solr服务中存在信息泄露漏洞，远程攻击者可以使用特制的URL从外部机器访问Solr服务所创建的集合，从中搜索和索引信息。

<*来源：Antero Ortiz
  
  链接：http://www.adobe.com/support/security/bulletins/apsb10-04.html
        http://kb2.adobe.com/cps/807/cpsid_80719.html
*>

建议：
临时解决方法：

* 禁止从外部访问Solr集合：

1. 打开安装目录下的jetty.xml文件。

2. 找到以下属性：
<Set name="port"><SystemProperty name="jetty.port" default="8983"/></Set>

3. 添加以下属性：
<Set name="Host"><SystemProperty name="jetty.host" default="127.0.0.1"/></Set>

4. 重启Solr服务。

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://kb2.adobe.com/cps/807/cpsid_80719.html