Eclipse Jetty Server 安全漏洞(CVE-2017-7658)

最新推荐文章于 2024-08-14 10:38:26 发布
最新推荐文章于 2024-08-14 10:38:26 发布
阅读量1.3w 收藏 9
点赞数 1
分类专栏: Errors Summary 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawinlolo/article/details/115012842
版权
本文介绍了如何处理Eclipse Jetty Server的安全漏洞CVE-2017-7658。作者在为客户部署项目时遇到该高危漏洞,通过分析项目依赖,发现jetty版本问题。尽管尝试更新job-center-core的jar包,但在Spring Boot工程中仍有其他依赖影响jetty版本。最终,通过在根pom.xml文件中指定Eclipse Jetty Server的精确版本解决了问题。
摘要由CSDN通过智能技术生成

@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) )

1、 问题:

最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞!
在这里插入图片描述
直接把修复建议都给出了,那好参照建议链接:
在这里插入图片描述

2、分析

然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。

于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-center-core 的jar 包有引用。 里面修改里面的jetty 版本。

再引入到工程,然则无奈,不生效。 MOBI 缘故?

拿一个空的工程,添加 job-center-core 依赖,显示 Eclipse Jetty Server 正确。 但是,添加到 我自己的目标工程,依然是 9.4.10.v20180503.

综合分析所得, jetty 在自己的spring-boot 工程一定有其他地方依赖,影响了 job-center-core 包的传递依赖版本。

3、解决方案

<
最低0.47元/天 解锁文章
红月修罗
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
qq_51577576的博客
09-12 1683
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
cckuailong#vulbase#Eclipse Jetty 拒绝服务 (CVE-2020-27223)1
07-25
Eclipse Jetty 拒绝服务 (CVE-2020-27223)当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 8026
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
Jetty Ambiguous Paths 信息泄露漏洞(CVE-2021-28164/CVE-2021-34429)
qq_62056583的博客
07-07 1048
Jetty9.4.37版本中,为了符合。称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理.和..。针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
Eclipse Jetty CVE-2017-7658CVE-2018-12538、CVE-2017-7656、CVE-2018-12545、CVE-2017-9735、CVE-2019-10241
蜗牛也需要奔跑
10-11 5244
最近服务器扫描出现jetty安全漏洞,记录下解决方案 解决方案 有两个解决方式,一种是升级jetty,一种更改版本 升级jetty,Maven pom依赖修改版本 <dependencyManagement> <dependencies> <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-server</artifactId&
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 2191
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
最新系统漏洞--Eclipse Jetty信息泄露漏洞
weixin_48555088的博客
10-22 1万+
最新系统漏洞2021年10月22日 受影响系统: Eclipse Jetty <= 9.4.40 Eclipse Jetty <= 11.0.2 Eclipse Jetty <= 10.0.2 描述: CVE(CAN) ID: CVE-2021-28169 Eclipse JettyEclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8227
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164)
qq_51577576的博客
09-11 1721
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164) . 和 .. 称为点段,都是为路径名层次结构中的相对引用而定义的,它们在一些操作系统文件目录结构中分别代表当前目录和父目录。但是与文件系统不同的是,这些点段仅在 URI 路径中解释层次结构,并作为解析过程的一部分被删除。也就是说在解析URI路径时,需要先处理 . 和 .. Jetty为了符合这种处理方式,却导致了一系列的漏洞产生
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 3851
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
Jetty HTTP2.0 DoS漏洞分析
BASK2311的博客
05-18 2191
漏洞出现的Jetty版本是9.4.46,理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以,如果使用还在使用低版本Jetty的同学建议升级。作者:CrabGeek链接:https://juejin.cn/post/7233409321340715067。
Eclipse Jetty Server 安全漏洞
聆听梦飞扬的博客
12-24 6021
Eclipse Jetty Server 安全漏洞
XXL-JOB漏洞解决,Eclipse Jetty HTTP请求走私漏洞
悟●禅●酒的专栏
05-29 2929
可能我使用的xxl-job版本比较老,今天安全组检查,查出来一堆堆,分享下:
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty 的漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞。 漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
HTTP请求走私漏洞
Atkx's Blog
04-11 5367
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
[CVE-2015-2080] Jetty web server 远程共享缓冲区信息泄漏漏洞
jiangbb8686的博客
11-29 1704
GDS安全公司发现了一个jetty web server安全漏洞,该漏洞允许攻击者远程获取其他用户的历史请求信息。 简单来说,如果你使用存在漏洞版本的jetty,那么你的密码、请求头、cookie、anti-csrf token等信息都将面临被窃取风险。比如post请求中包含的信息。 GDS还发现一个重要的事情就是,此数据泄漏漏洞本身并不局限于request请求,还可以应用在respons...
Eclipse Jetty 安全漏洞(CVE-2022-2048)
06-01
Eclipse Jetty 安全漏洞(CVE-2022-2048)是一种影响 Jetty 9.4.44.v20210927 到 9.4.48.v20211122 版本的漏洞,攻击者可以通过发送恶意请求来触发该漏洞,并在 Jetty 服务器上执行任意代码。以下是修复该漏洞的步骤: 1. 升级 Jetty 如果您的系统使用的是受影响的 Jetty 版本,建议立即升级到最新版本。可以前往 Jetty 官网下载最新版本并安装,或者使用系统自带的包管理器进行更新。 2. 配置 Jetty 建议您在部署 Jetty 服务器时,按照以下建议进行配置: - 禁用 JMX(RMI) 接口:将 JMX(RMI) 接口禁用以避免攻击者利用该漏洞进行攻击。 - 限制 Jetty 进程的权限:将 Jetty 进程限制在一个没有 root 权限的用户下运行,以限制攻击者的权限。 - 使用防火墙:使用防火墙来限制对 Jetty 服务器的访问,只允许必要的端口和 IP 地址访问。 3. 其他建议 除了上述措施外,建议您采取以下措施来加强 Jetty 服务器的安全性: - 定期更新 Jetty 和其他软件的补丁以修复已知漏洞。 - 使用 SSL 加密:使用 SSL 加密来保护 Jetty 服务器与客户端之间的通信。 总的来说,为保护 Jetty 服务器的安全性,建议您尽快升级 Jetty 或按照上述建议进行配置。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值