内容简介:Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)发布日期:2019-05-25更新日期:2019-05-31
Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)
发布日期:2019-05-25
更新日期:2019-05-31
受影响系统: 描述:
BUGTRAQ ID: 108496
CVE(CAN) ID: CVE-2018-17198
Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。
Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。
<*来源:Arseniy Sharoglazov
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
*>
建议:
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:
CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
补丁下载:
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-06/158929.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 跨站请求伪造已死!
- 跨站请求伪造 (CSRF) 攻击
- 跨站请求伪造已经死了!(译文)
- Windows凭证的伪造和窃取技术总结
- 跨站点请求伪造(CSRF)总结和防御
- 客户端伪造 cookie 的方法和防范
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JavaScript Patterns
Stoyan Stefanov / O'Reilly Media, Inc. / 2010-09-21 / USD 29.99
What's the best approach for developing an application with JavaScript? This book helps you answer that question with numerous JavaScript coding patterns and best practices. If you're an experienced d......一起来看看 《JavaScript Patterns》 这本书的介绍吧!
