我在 adobe.com 上看到了 ColdFusion 的新安全修补程序,但我不确定已安装了什么。ColdFusion Administrator 中的版本是8,0,1,195765。
如何知道安装了哪些 ColdFusion 修补程序?
我是否可以尝试安装累积修补程序而不会出现问题?
答案1
如果我没记错的话,ColdFusion 修补程序包括一个简单的“替换一些文件”。
要验证修补程序的安装状态,除了直接验证这些文件之外可能没有其他方法。
无论当前的修补程序级别如何,安装累积修补程序都应该是安全的。
答案2
ColdFusion 8 和 9 的修补程序都安装在{coldfusion-安装} /lib/更新目录中的修补程序被标识为HFVVV-xxxxx.jar在哪里威力是 ColdFusion 的版本,xxxxx是特定修复的 BugID。安全修复程序遵循相同的约定,但xxxxx是序列号。ColdFusion 8.0.1 的最新安全修补程序(APSB12-21) 是hf801-00007.jar。
累积修补程序位于同一目录中,但由chfvvvxxxx.jar,同样威力是 ColdFusion 的版本,xxxxx是序列号。ColdFusion 8.0.1 的最新累积修补程序是chf8010004.jar。
如果你需要一个简单的方法来确保你的 ColdFusion 8.0.1 或 9.0.x 服务器已正确修补,我建议使用非官方更新程序 2
虽然 Ian 链接的内容可以告诉您 CFIDE 目录的内容是否已正确修补,但其他目录中的文件(尤其是 ColdFusion 8.0.1)需要更新才能完全修补。
答案3
正如 Shane 所说,大多数只是替换文件。在某些情况下,会添加额外的 JAR。在 CF9 安装中,它们位于 /opt/coldfusion9/lib/updates/,但我认为该位置对于 CF8 是相同的。
你也可以看看这个http://www.dcepler.net/post.cfm/file-integrity-checking-cfide它使用称为 hashdeep 的东西和预生成的哈希文件来确定你的 CFIDE 是否与修补版本匹配。