内容简介:Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)发布日期:2019-05-25更新日期:2019-05-31
Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)
发布日期:2019-05-25
更新日期:2019-05-31
受影响系统: 描述:
BUGTRAQ ID: 108496
CVE(CAN) ID: CVE-2018-17198
Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。
Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。
<*来源:Arseniy Sharoglazov
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
*>
建议:
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:
CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
补丁下载:
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-06/158929.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 跨站请求伪造已死!
- 跨站请求伪造 (CSRF) 攻击
- 跨站请求伪造已经死了!(译文)
- Windows凭证的伪造和窃取技术总结
- 跨站点请求伪造(CSRF)总结和防御
- 客户端伪造 cookie 的方法和防范
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Ajax开发精要
柯自聪 / 电子工业出版社 / 2006 / 45.00
书籍目录: 概念篇 第1章 Ajax介绍 2 1.1 Ajax的由来 2 1.2 Ajax的定义 3 1.3 Web应用程序的解决方案 5 1.4 Ajax的工作方式 7 1.5 小结 8 第2章 B/S请求响应机制与Web开发模式 9 2.1 HTTP请求响应模型 9 2.2 B/S架构的请求响应机......一起来看看 《Ajax开发精要》 这本书的介绍吧!
