内容简介:Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)发布日期:2019-05-25更新日期:2019-05-31
Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)
发布日期:2019-05-25
更新日期:2019-05-31
受影响系统: 描述:
BUGTRAQ ID: 108496
CVE(CAN) ID: CVE-2018-17198
Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。
Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。
<*来源:Arseniy Sharoglazov
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
*>
建议:
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:
CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller
链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
补丁下载:
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-06/158929.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 跨站请求伪造已死!
- 跨站请求伪造 (CSRF) 攻击
- 跨站请求伪造已经死了!(译文)
- Windows凭证的伪造和窃取技术总结
- 跨站点请求伪造(CSRF)总结和防御
- 客户端伪造 cookie 的方法和防范
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
颠覆式创新:移动互联网时代的生存法则
李善友 / 机械工业出版社 / 2015-3-1
为什么把每件事情都做对了,仍有可能错失城池?为什么无人可敌的领先企业,却在一夜之间虎落平阳?短短三年间诺基亚陨落,摩托罗拉以区区29亿美元出售给联想,芯片业霸主英特尔在移动芯片领域份额几乎为零,风光无限的巨头转眼成为被颠覆的恐龙,默默无闻的小公司一战成名迅速崛起,令人瞠目结舌的现象几乎都能被“颠覆式创新”法则所解释。 颠覆式创新教你在新的商业竞争中“换操作系统”而不是“打补丁”,小公司用破坏......一起来看看 《颠覆式创新:移动互联网时代的生存法则》 这本书的介绍吧!
