Apache Roller服务器侧请求伪造和文件枚举漏洞（CVE-2018-17198）

Apache Roller服务器侧请求伪造和文件枚举漏洞（CVE-2018-17198）

发布日期：2019-05-25

更新日期：2019-05-31

受影响系统： 描述：

BUGTRAQ  ID: 108496

CVE(CAN) ID: CVE-2018-17198

Apache Roller是美国阿帕奇（Apache）软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。

Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下，解析器支持XML DOCTYPE中的外部实体，导致服务器侧请求伪造（SSRF）/文件枚举（File Enumeration）漏洞。请注意，即使Roller XML-RPC接口被禁用，Roller web admin UI也存在漏洞。

<*来源：Arseniy Sharoglazov

链接： https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

*>

建议：

厂商补丁：

Apache Group

------------

Apache Group已经为此发布了一个安全公告（CVE-2018-17198）以及相应补丁:

CVE-2018-17198：Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller

链接： https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

补丁下载：

Linux公社的RSS地址 ： https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址： https://www.linuxidc.com/Linux/2019-06/158929.htm