mongodb、tomcat、activemq漏洞修复

最新推荐文章于 2024-05-09 08:00:00 发布
最新推荐文章于 2024-05-09 08:00:00 发布
阅读量971 收藏 15
点赞数 30
文章标签: mongodb activemq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45552215/article/details/137866040
版权

一、mongodb漏洞修复

1.漏洞类型

MongoDB Server 拒绝服务漏洞(CVE-2021-32036);

MongoDB未授权访问漏洞(原理扫描);

MongoDB Server 安全漏洞(CVE-2020-7921);

Mongodb Server 输入验证错误漏洞(CVE-2021-20330);

Mongodb Server 输入验证错误漏洞(CVE-2019-2392);

MongoDB Server 日志条目错误漏洞(CVE-2021-20333);

Mongodb Server 安全漏洞(CVE-2020-7929);

Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);

MongoDB Server 安全漏洞(CVE-2020-7923);

Mongodb Server 信任管理问题漏洞(CVE-2020-7924);

MongoDB Server 拒绝服务漏洞(CVE-2021-32036);

MongoDB未授权访问漏洞(原理扫描);

MongoDB Server 安全漏洞(CVE-2020-7921);

Mongodb Server 输入验证错误漏洞(CVE-2021-20330);

Mongodb Server 输入验证错误漏洞(CVE-2019-2392);

MongoDB Server 日志条目错误漏洞(CVE-2021-20333);

Mongodb Server 安全漏洞(CVE-2020-7929);

Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);

MongoDB Server 安全漏洞(CVE-2020-7923);

Mongodb Server 信任管理问题漏洞(CVE-2020-7924);

2.解决方法

通过文本编辑器打开如下文件

 

 

将后边的--bind_ip_all --auth修改成--bind_ip 127.0.0.1

 

这样除了本机其余的电脑都不能访问本机的mongodb,可以去其余的服务器去telnet mongodb服务器的ip 38624,不通则代表修改完成

二、iserver和tomcat漏洞修复(一般升级版本即可)

1.所需软件,该软件目前规避了所有漏洞

2.修改方法

Tomcat版本更新步骤(升级需谨慎,建议提前做好备份工作);

本地解压新tomcat包

打开本地平台中Tomcat文件夹,保留如图文件夹中依赖包,配置文件及平台站点,其余部分替换为新版本Tomcat中对应内容

 

利用新Tomcat包lib文件夹下内容替换平台lib文件夹中内容,保留所有以com.supermap开头的jar包文件、以及commons-pool-1.6.jar;commons-pool2-2.0.jar文件。完成平台升级利用新Tomcat包lib文件夹下内容替换平台lib文件夹中内容,保留所有以com.supermap开头的jar包文件、以及commons-pool-1.6.jar;commons-pool2-2.0.jar文件。完成平台升级

 

Isever升级步骤类似操作即可。

三、activemq漏洞修复(一般升级版本即可)

1.下载对应版本的activemq,需要考虑咱们的jdk是否满足需求,activemq版本对应的Eclipse Jetty是否满足需求,下载完成直接启动即可

2.下载地址

ActiveMQicon-default.png?t=N7T8https://activemq.apache.org/components/classic/download/

3.下载步骤

 

Y.CT
关注
  • 30
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Mongodb2.6升级到3.4教程
10-13
mongodb从2.6升级到3.4教程,2.6与3.4的使用引擎不同。按照官网,升级时,是需要一个版本一个版本升级的
mongodb 2.6 升级 4.0 数据备份迁移
12-14
1. 在服务器中安装mongo4.0.6 在官网中下载需要的mongo版本 https://www.mongodb.com/download-center/community 2. 安装mongo4.0.6 自行查询相关安装配置,可参考:图文详解Linux系统安装MongoDB4.0过程 3. 数据备份恢复 数据备份: (1)整库备份:mongodump -h {ip} –port 27017 -d {testdb} -o /data/temp 说明:-h 后为数据库所在服务器; –port 后为端口; -d后为指定库名;-o后为存储位置 (2)collection备份:mongodump -
MongoDB未授权漏洞复现
G3et的博客
05-20 994
MongoDB未授权漏洞是指攻击者可以未经身份验证地远程访问MongoDB数据库服务器的漏洞。这种漏洞通常是由于管理员没有正确配置数据库安全选项,比如没有启用身份验证或者没有限制远程访问的IP地址等所导致的。MSF中用use auxiliary/scanner/mongodb/mongodb_login。攻击者可以利用这种漏洞来获取敏感数据、修改数据库记录,甚至是删除整个数据库。MongoDB默认端口是27017。
MongoDB升级经历(4.0.23至5.0.19)
laizhenghua的博客
08-14 2207
为了解决MongoDB的两个漏洞决定把MongoDB升级至最新版本,期间也踩了不少坑,在这里分享出来供大家学习与避坑~
未授权访问:MongoDB未授权访问漏洞
最新发布
qq_68163788的博客
05-09 1681
未经授权而访问MongoDB数据库的漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库。漏洞通常是由于管理员未正确配置访问控制、弱密码或者未及时更新数据库等原因导致的。为了防止未授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止未授权访问漏洞的利用,保护数据库安全。
MongoDB 权限提升安全漏洞
weixin_34216107的博客
07-02 548
mongodb 可以通过 readOnly 参数建立只读和可以读写的用户。但是只读用户也可以访问 db.system.user,所以可以拿到所有用户的密码的 hash 值。按照协议,只需要传递这个 hash ,而不用知道密码就能通过认证。所以,只读用户就可以由此获取可写的权限。 如: > db.system.users.find() { "_id" : ObjectId("4fd068ae3...
MongoDB数据库因安全漏洞,导致Family Locator泄露二十多万名用户数据
Enmotech的博客
09-04 880
摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序Family Locator已经暴露了超过238,000名用户的...
MongoDB未授权访问漏洞及加固
七月_的博客
06-24 9262
MongoDB MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 ...
关于MongoDB安全事件的一些思考
wangchewen的博客
11-04 261
刚刚过去的这个周末,各位大数据和数据库从业者想必是被MongoDB的“安全事件”给刷屏了,MongoDB作为当前NoSQL在全球的领军人物,遭到这么大规模的黑客攻击,这也再次让我们对于新一代的开源数据库的数据安全问题产生了思考。而作为国内领先的新一代分布式数据库厂商,我们也来说说我们对这个事件的看法。 事件回顾 此前,众多无需身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。攻击者利用配置存在疏漏的开源 MongoD
常见未授权访问漏洞修复
qq_41945550的博客
06-02 4589
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
MongoDB Community(mongodb-org-server-5.0.8-1.el7.x86_64.rpm)
05-28
MongoDB Community Server(mongodb-org-server-5.0.8-1.el7.x86_64.rpm)适用于RedHat / CentOS 7.0 MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。 MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。
activemq-store-mongodb.zip
07-16
activemq-store-mongodb 是一个使用mongodb实现的activemq 消息存储。 为了在配置文件支持mongodb存储,需要稍微改一下activemq的XSD和serviceloader配置文件,参见此处。 标签:activemq
spring+springmvc+mybatis+mongodb+ActiveMQ+CXF
04-10
"spring+springmvc+mybatis+mongodb+ActiveMQ+CXF"就是一个典型的技术栈,它涵盖了后端开发、数据库管理、消息队列以及服务接口等多个关键领域。下面我们将详细探讨这些技术及其相互作用。 首先,Spring框架是Java...
mongodb未授权漏洞加固.pdf
03-15
mongodb未授权漏洞加固
activeMQ、Maven、memcached、mongoDB、Nginx学习材料
05-27
本学习材料涵盖了五个核心领域:ActiveMQ、Maven、Memcached、MongoDB以及Nginx,这些都是构建高效、可扩展系统的重要工具。以下是对这些技术的详细介绍: 1. **ActiveMQ**:ActiveMQ是Apache软件基金会的一个开源...
MongoDB eclipse tomcat java驱动安装图形演示
12-18
以上步骤展示了如何在Eclipse环境中整合MongoDB、Java驱动和Tomcat,实现Java应用程序与MongoDB数据库的交互,并创建基于Tomcat的动态网页。这对于开发Web应用,特别是需要处理大量非结构化数据的场景非常实用。在...
MongoDB BSON 远程拒绝服务漏洞
Dennis_鬼谷子博客
07-05 882
已确认被成功利用的软件及系统  2.4.12, 2.6.7, 3.0.0-rc8    漏洞描述 mongod服务端无法验证一些畸形的BSON用例导致预认证出现故障。畸形的BSON消息可以在服务端触发异常导致服务宕机。    建议修补方案  建议升级至最新版本 2.4.13, 2.6.8, 3.0.0-rc9, 3.1.0  MongoDB官网已发布补丁,补丁下载地址:
大批 MongoDB 因配置漏洞被攻击,黑客删除数据
Hacker_gangg的博客
12-28 1015
大批 MongoDB 因配置漏洞被攻击,黑客删除数据并勒索赎金
mongodb unauthorized漏洞
06-09
MongoDB Unauthorized漏洞是一种常见的漏洞类型,攻击者可以通过该漏洞未经授权地访问MongoDB数据库,并获取敏感信息或者篡改数据。该漏洞主要是由于MongoDB默认配置没有启用身份验证或者启用了弱密码,导致攻击者可以轻松地访问数据库。 为了解决该漏洞,建议MongoDB管理员采取以下措施: 1. 启用身份验证:在MongoDB配置文件中启用身份验证,强制要求用户输入用户名和密码才能访问数据库。 2. 使用强密码:确保所有用户设置的密码都足够强大,最好包含字母、数字、特殊字符等复杂元素。 3. 限制访问权限:为每个用户分配最小的访问权限,避免用户访问不需要的数据库或集合。 4. 定期更新MongoDB版本:确保使用最新版本的MongoDB,以修复已知漏洞和安全问题。 5. 监控日志:监控MongoDB日志,及时发现异常访问行为并进行处理。 总之,为了保障MongoDB数据库的安全性,管理员需要加强安全意识和措施,及时发现和处理潜在的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值