java连接ES客户端pom.xml里有elasticsearch:8.6.2易受攻击警告

最新推荐文章于 2024-06-20 20:20:21 发布
最新推荐文章于 2024-06-20 20:20:21 发布
阅读量692 收藏 6
点赞数 10
文章标签: java elasticsearch xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46662581/article/details/135676901
版权

1、具体报警信息

Dependency maven:org.elasticsearch:elasticsearch:8.6.2 is vulnerable CVE-2021-22146 7.5 Exposure of Resource to Wrong Sphere vulnerability CVE-2023-31419 7.5 Out-of-bounds Write vulnerability with High severity found CVE-2023-46673 7.5 Improper Handling of Exceptional Conditions vulnerability with High severity found  Results powered by Checkmarx(c) 

翻译:

        翻译过来大致意思是:该版本elasticsearch在数据泄露方面存在高风险

解决:

        将版本升级到修复漏洞后的安全版本,我这里升级到了8.12.0,刷新pom.xml,不再报警,问题解决。

 

沃克臻幸运
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
elasticsearch-sql2:基于Java Rest高级客户端Elasticsearch-Sql组件【已淘汰】
01-28
基于ElasticsearchJava Rest高级客户端elasticsearch-sql查询组件【STALLED】 请移至 ... < groupId>io.github.iamazy.elasticsearch.dsl < artifactId>elasticsearch-sql ${isql-version}</ v
spandex:用于Clojure的Elasticsearch客户端(基于新的ES 7.x Java客户端构建)
01-28
spandex:用于Clojure的Elasticsearch客户端(基于新的ES 7.x Java客户端构建)
从F5 BIG-IP RCE漏洞(CVE-2023-46747)来看请求走私的利用价值
C20220511的博客
11-08 1038
关于绕过权限之后F5 BIG-IP执行命令的逻辑在F5历史漏洞CVE-2022-1388中已经使用过,其实F5 BIG-IP本身就提供了接口/mgmt/tm/util/bash为后台用户执行系统命令的,有兴趣的读者也可以看https://mp.weixin.qq.com/s/wUoBy7ZiqJL2CUOMC-8Wdg了解详细的创建用户和后台命令执行的逻辑。从图2.3可以看出,整个AJP请求走私的流程是可以把一个HTTP请求经过AJP代理转化之后转化为两个AJP请求,这也是请求走私名字的来源。
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 6105
网络安全-CVE - CIS 漏洞分析以及解决
漏洞CVE-2023-44487 HTTP2
zkaqlaoniao的博客
10-31 1567
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
【论文分享】KOOBE: Towards Facilitating Exploit Generation of Kernel Out-Of-Bounds Write Vulnerabilities
^_^
07-02 799
Usenix Security 2020 的一篇关于内核OOB漏洞自动化利用的文章,感觉写的不错。 文章目录简介研究背景研究方法研究假设核心思想实现测试评估总结 简介 这篇文章的主要目的是为了评估堆溢出漏洞的可利用性,从而方便开发人员判断漏洞修补的价值。文章提出了KOOBE,一个基于漏洞能力来实现内核堆溢出漏洞的自动化利用的工具。KOOBE的实现主要基于符号执行和基于能力的模糊测试这两种技术。实验在17个内核堆溢出漏洞(公共的exploit只有5个)中生成了11种利用策略。最后,作者认为其他的漏洞利用过.
electron 下载依赖 npm i 报 ‘found 1 high severity vulnerability’漏洞提示解决方法及过程
weixin_42351895的博客
09-08 8449
在尝试打包electron项目运行npx electron-forge import后,卡在了Installing dependencies下载依赖这一步,直接instal Failed to install modules: ["electron-squirrel-startup"] 感觉像是下载依赖失败了,然后中断后进行npm i把对应的下载全部的模块。 npm i 虽然是成功运行了但是又出现了安全漏洞错误 found 1 high severity vulnerability run `npm au
最新版windows elasticsearch-8.6.2-windows-x86-64.zip
02-19
最新版windows elasticsearch-8.6.2-windows-x86_64.zip最新版windows elasticsearch-8.6.2-windows-x86_64.zip最新版windows elasticsearch-8.6.2-windows-x86_64.zip
elasticsearch-js:用于Node.js的官方Elasticsearch客户端
02-04
Elasticsearch Node.js客户端 Elasticsearch的官方Node.js客户端。 注意:在过去的几个月中,我们一直在研究新的Elasticsearch Node.js客户端,您可以按照以下说明使用它。 但是,如果您要使用旧版或报告问题,请...
【POC公开】CVE-2021-31166:Windows HTTP协议远程代码执行漏洞通告
爱国小白帽
05-17 2487
报告编号:B6-2021-051702 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-17 1 漏洞简述 2021年05月17日,360CERT监测发现国外安全研究员发布了Windows HTTP协议远程代码执行漏洞的POC详情,漏洞编号为CVE-2021-31166,漏洞等级:严重,漏洞评分:9.8。 该漏洞在微软5月补丁日中完成了修复,微软官方将其标记为可造成蠕虫攻击及易被攻击,攻击者可以利用该漏洞造成大范围蠕虫攻击。 对此,360CERT建议广大用户及时将Windows
CVE-2021-21166
weixin_48300170的博客
07-14 1155
CVE-2021-21166 Chrome 远程代码执行0 Day 漏洞复现漏洞简介漏洞信息漏洞原理环境搭建漏洞复现漏洞修复 漏洞简介       在2021年2月11日,微软浏览器漏洞研究团队的研究员 Alison Huffman提交一个0day漏洞。       一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
热门推荐
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
Java爬虫之Jsoup爬Html网页链接
withme977的博客
06-20 281
Java爬虫Jsoup
数据结构与算法-差分数组及应用
qq_36115196的博客
06-20 698
差分数组: 其实差分数组是创建一个一个辅助数组,用来表示给定数组的变化,一般用来对数组进行区间修改的操作。
Day43
最新发布
m0_67496588的博客
06-20 952
JSON,Ajax
Java面试八股之简述JVM内存结构
u012151345的博客
06-20 751
Java 8之前,永久代(Permanent Generation)是方法区的实现,之后被元空间(Metaspace)取代。总结来说,JVM内存结构设计精巧,通过区分线程私有和共享区域,以及细致划分各个区域的功能,确保了Java程序的高效、安全运行。每个线程都有自己的栈,用于存储方法调用时的信息,包括局部变量表、操作数栈、动态链接、方法出口等。方法区的一部分,存放编译期生成的各种字面量和符号引用,如字符串字面量、类名、方法名等。JVM中最大的一块内存区域,用于存储几乎所有的对象实例和数组。
Spring 事务传播行为之Propagation.NESTED REQUIRES_NEW等探讨
chengmin123456789的博客
06-17 230
当一个事务方法(标记为@Transactional(propagation = Propagation.NESTED))被另一个活动事务调用时,它会创建一个“保存点”(Savepoint)作为新的事务开始点。这意味着,如果这个嵌套事务方法内部发生异常并导致回滚,事务会回滚到这个保存点,而不会影响到外部事务的其他操作。如果一切正常,嵌套事务会在外部事务结束时一起提交。
Java Api 使用co.elastic.clients:elasticsearch-java:8.6.2 对百万数据的索引重命名性能优化
06-01
要使用 Elasticsearch Java API 对百万数据的索引进行重命名,并进行性能优化,可以尝试以下方法: 1. 使用 Elasticsearch Java API 执行批量操作。与 Bulk API 类似,使用 Elasticsearch Java API 也可以一次性处理多个文档的重命名操作,从而提高索引重命名的性能。例如: ``` BulkRequest bulkRequest = new BulkRequest(); bulkRequest.add(new UpdateRequest("my_index", "_doc", "1").doc(jsonBuilder().startObject().field("name", "new_name").endObject())); bulkRequest.add(new UpdateRequest("my_index", "_doc", "2").doc(jsonBuilder().startObject().field("name", "new_name").endObject())); ... BulkResponse bulkResponse = client.bulk(bulkRequest, RequestOptions.DEFAULT); ``` 这将在一次 API 调用中更新多个文档的名称,而不是逐个更新。 2. 在执行重命名操作之前,可以考虑关闭索引的刷新机制。通过将 RefreshInterval 设置为 -1,可以关闭索引的刷新机制。例如: ``` UpdateSettingsRequest request = new UpdateSettingsRequest("my_index"); Settings settings = Settings.builder().put("index.refresh_interval", "-1").build(); request.settings(settings); client.indices().putSettings(request, RequestOptions.DEFAULT); ``` 这将关闭索引的刷新机制。在执行完索引重命名操作后,可以将 RefreshInterval 设置为 1s,以重新启用刷新机制。例如: ``` UpdateSettingsRequest request = new UpdateSettingsRequest("my_index"); Settings settings = Settings.builder().put("index.refresh_interval", "1s").build(); request.settings(settings); client.indices().putSettings(request, RequestOptions.DEFAULT); ``` 这将每秒钟执行一次索引刷新操作。请注意,关闭刷新机制可能会导致某些查询结果不准确,因为查询可能会返回尚未刷新的数据。 3. 在执行重命名操作时,使用异步操作可以提高性能。可以使用 Elasticsearch Java API 提供的异步操作实现。例如: ``` BulkRequest bulkRequest = new BulkRequest(); bulkRequest.add(new UpdateRequest("my_index", "_doc", "1").doc(jsonBuilder().startObject().field("name", "new_name").endObject())); bulkRequest.add(new UpdateRequest("my_index", "_doc", "2").doc(jsonBuilder().startObject().field("name", "new_name").endObject())); ... ActionListener<BulkResponse> listener = new ActionListener<BulkResponse>() { @Override public void onResponse(BulkResponse bulkResponse) { // 执行成功的回调 } @Override public void onFailure(Exception e) { // 执行失败的回调 } }; client.bulkAsync(bulkRequest, RequestOptions.DEFAULT, listener); ``` 这将使用异步方式执行批量操作,从而提高性能。 通过以上方法,可以对百万数据的 Elasticsearch 索引进行重命名,并进行性能优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值