Jetty 安全漏洞分析

最新推荐文章于 2025-03-17 17:51:08 发布
最新推荐文章于 2025-03-17 17:51:08 发布
阅读量2.2w 收藏 30
点赞数 7
分类专栏: 安全 文章标签: jetty 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyp632/article/details/117162835
版权
本文分析了多个Eclipse Jetty的安全漏洞,包括HTTP请求走私、输入验证错误和授权问题等,并提供了修复这些漏洞的版本。升级Jetty到9.4.17及以上可解决大部分问题,但9.4.20以下版本存在返回版本号错误的bug。为避免安全扫描工具误报,可以通过设置启动参数来显示正确版本。文中还以Metabase和Jenkins为例,说明如何在不升级或无法升级时采取临时解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Jetty 安全漏洞分析

记录日期:2021/5/21

1. 安全问题分析

在做服务器安全扫描时,有时会报出 jetty 的漏洞。
在这里插入图片描述
查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞。

漏洞 官方问题连接 修复版本
Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7656) https://bugs.eclipse.org/bugs/show_bug.cgi?id=535667 9.3.24.v20180605 9.4.11.v20180605
Eclipse Jetty 输入验证错误漏洞(CVE-2018-12545) https://bugs.eclipse.org/bugs/show_bug.cgi?id=538096 9.4.12
Eclipse Jetty 授权问题漏洞(CVE-2018-12538) https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018 9.4.9.v20180320
Jetty 信息泄露漏洞(CVE-2017-9735) https://github.com/eclipse/jetty.project/issues/1556 https://github.com/gwtprojec
最低0.47元/天 解锁文章
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 3004
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
Jetty Ambiguous Paths 信息泄露漏洞(CVE-2021-28164/CVE-2021-34429)
qq_62056583的博客
07-07 2571
Jetty9.4.37版本中,为了符合。称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理.和..。针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。
CVE-2023-37462 RCE漏洞,从零基础到精通,收藏这篇就够了!
最新发布
喜欢Python编程的程序员柚柚呀
03-17 778
XWiki Platform是法国XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。XWiki Platform存在安全漏洞,该漏洞源于文档“SkinsCode.XWikiSkinsSheet”不当转义,从而导致远程代码执行。XWiki 平台是一个通用的 wiki 平台,为构建在其之上的应用程序提供运行时服务。
Eclipse Jetty Server 安全漏洞(CVE-2017-7658)
暴暴风的博客
03-19 1万+
@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) ) 1、 问题: 最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞! 直接把修复建议都给出了,那好参照建议链接: 2、分析 然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。 于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-cen
Eclipse Jetty Server 安全漏洞
聆听梦飞扬的博客
12-24 6491
Eclipse Jetty Server 安全漏洞
最新系统漏洞--Eclipse Jetty信息泄露漏洞
weixin_48555088的博客
10-22 1万+
最新系统漏洞2021年10月22日 受影响系统: Eclipse Jetty <= 9.4.40 Eclipse Jetty <= 11.0.2 Eclipse Jetty <= 10.0.2 描述: CVE(CAN) ID: CVE-2021-28169 Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞
Jetty HTTP2.0 DoS漏洞分析
BASK2311的博客
05-18 2565
漏洞出现的Jetty版本是9.4.46,理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以,如果使用还在使用低版本Jetty的同学建议升级。作者:CrabGeek链接:https://juejin.cn/post/7233409321340715067。
eclipse jetty 安全漏洞
09-06
根据引用,eclipse jetty存在一个安全漏洞,漏洞编号为GHSA-vjv5-gp2w-65vm。具体的漏洞详情可以参考该引用提供的链接。根据引用,在eclipse jetty的commit记录中,可以找到修复该安全漏洞的提交记录,提交记录的...
web服务器/中间件漏洞系列6:jetty漏洞汇总
热门推荐
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 2万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:.和.
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8758
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
kettle自带jetty漏洞处理
赵得C
10-22 729
Jetty-server 9.4.50及之前版本,10.013及之前版本,11.0.13及之前版本,12.0.0.alpha3及之前版本。Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。替换kettle安装目录data_integration\lib下原有jetty-util Jar包。1、kettle自带jetty存在的漏洞类型。Jetty 资源管理错误漏洞。Jetty 输入验证错误漏洞。Jetty 信息泄露漏洞。Jetty 安全漏洞
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复
eyeofeagle的博客
10-05 6604
【代码】CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复。
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 1万+
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
CVE-2021-28164Jetty 不明确路径信息泄露漏洞
2301_77565393的博客
06-27 570
payload1:/%u002e/WEB-INF/web.xml 利用这个payload 用于绕过限制。执行以下命令以启动 Jetty 9.4.37 服务器。服务器启动后,请访问以查看示例页面。
Zookeeper占的那些端口 - 从Eclipse Jetty安全漏洞说起
若鱼的专栏
10-11 1777
起因 系统扫描报Jetty漏洞,很奇怪,系统中明明没有使用Jetty! 后来发现是Zookeeper中会使用Jetty,因为有使用Kafka,所以也使用了Zookeeper。 Zookeeper使用Jetty主要干2个事情: 1)提供给Prometheus用来输出监控指标用,占用端口7000 2)提供给AdminServer用来查询系统配置项,占用端口8080 也就是说,只要禁用这两个功能就可以了。 1)禁用7000端口 看下官方文档的描述: Since 3.6.0 ZooKeeper binary pa
[CVE-2019-17638]Jenkins自带Jetty的缓冲区损坏
公众号shadow sock7
08-18 1524
参考: https://www.jenkins.io/security/advisory/2020-08-17/ https://github.com/advisories/GHSA-x3rh-m7vp-35f2 https://github.com/eclipse/jetty.project/issues/4936 https://nvd.nist.gov/vuln/detail/2019-17638 这样启动jenkins时使用的是Jenkins自带的jetty: java -jar jenkin
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7288
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值