Security Lab

Раскрытие информации подключения к базе данных в Macromedia Dreamweaver

Дата публикации:05.04.2004
Дата изменения:17.10.2006
Всего просмотров:1445
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Macromedia Dreamweaver MX 2004, MX, UltraDev 4

Описание: Уязвимость обнаружена в Macromedia Dreamweaver. В некоторых конфигурациях, удаленный пользователь может просматривать имена источников данных.

Некоторые тестовые сценарии могут раскрыть имена источников данных (DSN) удаленному пользователю или позволить удаленному пользователю выполнить SQL команды на целевой системе.

Когда включены опции "Using Driver On Testing Server" или "Using DSN on Testing Server" в диалоговом окне подключения к базе данных, Dreamweaver загружает сценарий в базу данных, позволяя удаленный доступ к драйверу базы данных через HTTP протокол. Удаленный пользователь может просматривать DSN и в некоторых случаях выполнять SQL команды на базе данных.

URL производителя:http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html

Решение: Решение от Macromedia:

Customers should not define a database connection using the driver on a testing server accessible to the public. To prevent unauthorized access to the database, password-protect the database. If a database connection has been defined, use Dreamweaver's Remove Connection Scripts menu command to remove the files that expose the database. This issue is described in greater detail in Security implications of remote database connectivity (TechNote 19214)
Ссылки: MPSB 04-05 Potential Risk in Dreamweaver Remote Database Connectivity