Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)

栏目: 服务器 · Apache · 发布时间: 6年前

内容简介:Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)发布日期:2019-05-25更新日期:2019-05-31

Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)

发布日期:2019-05-25

更新日期:2019-05-31

受影响系统: 描述:

BUGTRAQ  ID: 108496

CVE(CAN) ID: CVE-2018-17198

Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。

Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。

<*来源:Arseniy Sharoglazov

链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

*>

建议:

厂商补丁:

Apache Group

------------

Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:

CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller

链接: https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

补丁下载:

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-06/158929.htm


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

颠覆式创新:移动互联网时代的生存法则

颠覆式创新:移动互联网时代的生存法则

李善友 / 机械工业出版社 / 2015-3-1

为什么把每件事情都做对了,仍有可能错失城池?为什么无人可敌的领先企业,却在一夜之间虎落平阳?短短三年间诺基亚陨落,摩托罗拉以区区29亿美元出售给联想,芯片业霸主英特尔在移动芯片领域份额几乎为零,风光无限的巨头转眼成为被颠覆的恐龙,默默无闻的小公司一战成名迅速崛起,令人瞠目结舌的现象几乎都能被“颠覆式创新”法则所解释。 颠覆式创新教你在新的商业竞争中“换操作系统”而不是“打补丁”,小公司用破坏......一起来看看 《颠覆式创新:移动互联网时代的生存法则》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具