我們正在使用Sitecore 6.5並且已收到XSS漏洞警報:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100004。除了升級到Sitecore 7之外,我找不到任何解決方案,所以我想在這裏問一下,以防有人知道另一種方式。我們正在計劃升級,但由於網站的複雜性和所做的某些自定義設置,它還有很長的路要走。在升級之前我們是否堅持了這個漏洞?此外,這會影響CM和CD還是CM?有些信息似乎表明它主要是CM的漏洞。我們已經將CM和CD分開使用兩臺不同的服務器,並且我們甚至爲每臺服務器分配了不同的數據庫用戶,以便將權限最小化爲僅限於每臺服務器所需的權限。Sitecore 6.5 XML控制腳本插入漏洞
1
A
回答
1
正如其他人所建議的;你真的需要考慮升級項目。除非您使用Sitecore購買特殊支持訂閱,否則Sitecore 6不會得到官方支持。這就是說...
您提到的這個漏洞並不意味着它會影響CM--至少在默認配置中不會。你有沒有測試過這個?嘗試一些漏洞文檔中列出的示例。
http://www.securityfocus.com/archive/1/archive/1/530901/100/0/threaded
如果你確實可以重現你都CM和CD服務器上的問題,有可能是,刪除從CD配置目標子系統解決方法。這是我的猜測 - 所以確保你測試和重新測試。
<control template="xmlcontrol" type="Sitecore.Web.UI.XmlControlRenderingType, Sitecore.Kernel" propertyMap="controlName=control name, properties=parameters"/>
在您的配置中找到它並將其從CD中刪除。如果它解決了問題,至少應該設置臨時解決方法。您的CM Box可能無法在禁用時運行,因此現在您必須將其屏蔽在防火牆後面。無論如何,好的做法。
相關問題
- 1. 安全漏洞訪問控制:sqlite中的數據庫插入
- 2. SiteCore 6.5:獲取控制參數
- 3. Sitecore 6.5與MVC3
- 4. 工具/腳本來檢查漏洞
- 5. XSS漏洞腳本標記編碼
- 6. ScriptingBridge:這些漏洞或腳本橋樑?
- 7. PHP腳本中的XSS漏洞
- 8. Vega漏洞掃描器內置腳本
- 9. SQL注入漏洞
- 10. Sql注入漏洞
- 11. SQL注入新漏洞
- 12. PHP Sql注入漏洞
- 13. glibc fnmatch漏洞:如何揭露漏洞?
- 14. ReactJS中的安全漏洞或漏洞?
- 15. 報價通知插件中的漏洞
- 16. nHibernate漏洞
- 17. wordpress timthumb.php漏洞
- 18. DotNetNuke漏洞
- 19. FWRITE漏洞
- 20. XSS漏洞
- 21. ActiveX漏洞
- 22. XSS漏洞
- 23. GlassFish目錄泄漏漏洞
- 24. 將腳本插入腳本
- 25. 安全掃描顯示JS腳本文件中的漏洞
- 26. 試圖擺脫代碼中的跨站點腳本(XXS)漏洞
- 27. 如何避免XSP/Domino跨站點腳本執行漏洞?
- 28. Apache2使用Python CGI腳本,它是安全漏洞?
- 29. 腳本HTTPS調用漏洞測試驗證
- 30. 修復java中使用OWASP的跨站腳本漏洞
我建議你用Sitecore支持提出一張票,如果你還沒有這樣做的話。 – jammykam
我建議你從6.5升級。一個安全漏洞就是這個漏洞,並且正在適用於6.5:https://kb.sitecore.net/articles/020736 –
我已經通知了我們的內部安全團隊,並希望在短期內得到他們或產品支持的回覆。 我強烈建議您在此問題上提出支持憑單。 –