当ColdFusion MX服务器写带有超长字符串的错误消息到日志时,服务器内存使用会暴涨,并且直到服务器完成对此错误消息的写入操作。如果攻击者重复产生此消息,就可以消耗大量内存而造成拒绝服务。要完成此漏洞,攻击者必须在处理CFM页面时产生错误,通过提交超长字符串作为GET或POST请求数据,传递给不能处理此数据类型的函数,当产生错误消息时可触发此漏洞。
受影响系统:
Macromedia ColdFusion Server MX J2EE 6.0
Macromedia ColdFusion Server MX J2EE 5.0
Macromedia ColdFusion Server MX 6.0
不受影响系统:
Macromedia ColdFusion Server MX J2EE 6.1
Macromedia ColdFusion Server MX 6.1
补丁下载:
http://www.macromedia.com/software/coldfusion/productinfo/upgrade/