如果你在单独的一台服务器上使用ColdFusion 3.12或4.01管理多个客户的ColdFusion应用程序，而你又无法完全相信你的客户，那么这个补丁正适合你的需要。即便你不属于上述的ASP服务商，这个补丁对你同样非常重要。在ColdFusion Server上安装了这个补丁之后，你就可以让那些你无法完全信任的客户在服务器上安全的运行可执行代码(.cfm或.dbm文件)。

问题概述

Allaire 安全公告板ASB99-10中曾详细阐述，Allaire已经发布了一个新的补丁，这个补丁允许宿有多个应用的ColdFusion服务器管理员阻止用户进行注册以使用未公开的管理tags和函数。ColdFusion Server包括了一些用于ColdFusion Administrator 的未公开的CFML tag和函数。在ColdFusion Administrator的状态下，只有享有管理特权的人才能够使用由这些未公开的tag及函数提供的功能。但事实上，在ColdFusion服务器上的宿有的应用程序完全可以使用这些功能，就象使用任何其他的CFML tag或函数一样。事情的结果是，如果开发人员在ColdFusion 服务器上被授权可以创建应用以及可执行模板，他们就可以利用这些未公开的函数和tag，非法使用管理设置，功能包括注册、数据库以及高级安全设置项。由于使用非法的解译设备可以破解ColdFusion Administrator，因此将导致未公开的tag和函数进一步的暴露。

补丁说明

该补丁允许宿有多个应用的服务器的管理员使用注册设置（registry settings）关闭管理tag和函数的使用方式。如果需要实现服务器管理功能，管理员可以临时重新打开管理tag和函数的使用，在结束管理任务之后再将其关闭。

重要提示

在默认安装之后，并没有自动启动补丁功能。如果在安装后希望立刻启动该功能，请参补丁使用考授权声明中的Disabling and Enabling Administrative Tags and Functions。

再次提示：如果你在单独的一台服务器上使用ColdFusion 3.12或4.01管理多个客户的ColdFusion应用程序，而你又无法完全相信你的客户，那么这个补丁正适合你的需要。即便你不属于上述的ASP服务商，这个补丁对你同样非常重要。在ColdFusion Server上安装了这个补丁之后，你就可以让那些你无法完全信任的客户在服务器上运行可执行代码(.cfm或.dbm文件)。

本补丁适用于以下版本的ColdFusion Server:

ColdFusion Admin Functions and Tags Patch

• for 4.01 Professional(Windows NT)
• for 4.01 Enterprise(Windows NT)
• for 4.01 Enterprise(Solaris)
• for 4.01 Enterprise(HP-UX)
• for 3.12 Professional(Windows NT)

现在用户已经可以从下载页面下载并安装这个补丁。

用户应该做到：

当你的同一台服务器上宿有多个应用，这些应用可以被重新上传或执行，同时你由无法信任生产这些程序的组织机构，那么就需要尽快安装并运行这个补丁程序，并使用补丁中的registry settings，在服务器没有管理任务的时候关闭服务器管理功能。

补丁授权说明

授权说明中包括了补丁概况、安装、激活指令以及补丁所函盖的管理tag及函数。