手机版
你好,游客 登录 注册
背景:
阅读新闻

Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)

[日期:2019-06-02] 来源:Linux社区  作者:Linux [字体: ]
Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)


发布日期:2019-05-25
更新日期:2019-05-31

受影响系统:描述:


BUGTRAQ  ID: 108496
CVE(CAN) ID: CVE-2018-17198

Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。
Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。

<*来源:Arseniy Sharoglazov
 
  链接:https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
*>

建议:


厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:
CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller
链接:https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

补丁下载:

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-06/158929.htm

linux
相关资讯       Apache Roller漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款