Macromedia Dreamweaver远程用户数据库拜候漏洞[DW设计]

触及程序: 
Macromedia Dreamweaver 
  
描写: 
Macromedia Dreamweaver远程用户数据库拜候漏洞 

  
  
具体: 
Dreamweaver是Macromedia公司开辟和保护的一款风行的网页计划软件,可以利用在Microsoft Windows操作系统下. 

Dreamweaver远程数据库衔接功效存在安全问题,远程攻击者可以操纵这个漏洞拜候数据库得到敏感信息. 

Dreamweaver的远程数据库衔接功效为了用于动态数据库驱动而安装的脚本存在问题,攻击者可以利用这些脚本发送SQL号令给服务程序,得到数据库服务器的掌握权. 

当用户在数据库衔接对话框中指定"Using Driver On Testing Server"或 
"Using DSN on Testing Server",Dreamweaver自动上传文件到测试服务器答应Dreamweaver通过HTTP协议操作远程数据库,这答应Dreamweaver得到数据库信息来帮忙用户成立在站点,但是这个文件可得到系统中定义的DSN信息,假如DSN和数据库没有密码保护,便可以发送SQL号令给数据库而得到敏感信息 
  
攻击办法: 
暂无有效攻击代码 
  
办理筹划: 
暂时办理筹划: 

* 客户不要在可对外拜候的测试服务器上定义数据库衔接,为了避免数据库未受权拜候,必须举行密码保护,假如数据衔接已经定义,利用Dreamweaver的删除衔接脚本菜单号令删除文件. 

厂商补钉: 

因厂商目前还未公布补钉,请用户到厂商主页下载最新版本: 

http://www.macromedia.com 
  
附加信息: 
无