【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)

已于 2023-12-11 21:17:54 修改
阅读量7.1k 收藏 19
点赞数 12
分类专栏: 开源GIS 文章标签: jetty apache http geoserver
于 2023-12-11 21:13:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoulizhu/article/details/134935737
版权

Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。

1.问题来源

这次由于甲方一月一次的漏洞扫描,爆出了jetty的漏洞,搜索得知jetty 9.4.53版本之下的jetty都会受到影响,而现场的geoserver版本已经是2.24.0版本的了,其jetty版本是9.4.52版本,非常尴尬,还得升级。去geoserver官网查找最新版本是2.24.1,下载下来一看,jetty版本仍然是9.4.52,这就尬住了,官方也没有去解决这个问题,只能自己硬着头皮去替换jetty的jar包了。

2.问题解决

之前在解决geoserver jetty漏洞的问题时,我曾经采用替换lib包里的jetty包和外面的start.jar文件来进行修复,现在故技重施,解决思路也是奔着这个目标去。
在这里插入图片描述
首先,替换lib包中的jetty包,jetty的包要去jetty官网下载jetty官网下载

最低0.47元/天 解锁文章
CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞复现
薛定谔嘚喵博客
09-01 2350
由于系统未对用户输入进行过滤,远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析,从而实现SQL注入,成功利用此漏洞可获取敏感信息,甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中,则未使用外置数据库的场景不受此漏洞影响。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1987
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
HTTP/2 中的漏洞CVE-2023-44487
热门推荐
2301_80115097的博客
10-19 2万+
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
Geoserver】将geoserver迁移到jetty的发行包中
zhoulizhu的博客
12-13 353
于是我想着换个思路好了,总是想着将Geosever中的jetty包替换掉,干脆反过来,把geoserver中的webapp里面的包看做war包,迁移到jetty的发行包好了。geoserver有些特殊的是他把数据信息都放在了data_dir目录下面了,要迁移geoserver不能只讲webapps目录下的程序拷贝过去,还需要讲data_dir拷贝过去,另外geoserver的发行包中还做了一些环境配置,具体配置信息在start.ini中,我们也需要这个文件拷贝过去。
CVE-2023-44487修复
最新发布
m0_66820433的博客
03-20 1277
CVE-2023-44487HTTP/2 协议中的一个高危拒绝服务漏洞,攻击者通过快速发送并取消请求(HEADERS 和 RST_STREAM 帧组合),导致服务器资源耗尽。
HTTP/2 中的漏洞
ptsecurity的博客
10-11 5143
要利用该漏洞,攻击者需要在 HTTP/2 会话中打开大量请求,然后在不等待服务器响应的情况下,使用RST_STREAM 请求中断连接。利用该漏洞可以在客户端负载最小的情况下,向服务器发送大量请求流,从而导致系统拒绝服务Apache 软件基金会发布了 Tomcat 的更新,F5 发布了 Nginx 的更新。该漏洞HTTP/2 协议实施中的一个缺陷有关,可用于实施 DDoS 攻击。使用该漏洞的攻击被命名为 HTTP/2 快速重置。如果安装了最新的知识库更新,将自动识别易受攻击的资产。
记一次解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)过程
weixin_43929663的博客
12-20 2868
由于甲方等保测评时漏洞扫描,爆出Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487),高危漏洞需要紧急修复。
CVE-2023-44487 HTTP2漏洞
hackzkaq的博客
11-02 4054
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
漏洞CVE-2023-44487 HTTP2
zkaqlaoniao的博客
10-31 2663
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
漏洞验证:HTTP/2的快速重置DOS攻击(CVE-2023-44487
weixin_53523921的博客
10-24 3578
攻击者就可以利用该漏洞,通过持续的HEADERS、RST_STREAM帧组合,来消耗 服务器 资源,进而影响 服务器 正常请求的处理,造成 DDoS 攻击。
HTTP/2拒绝服务漏洞CVE-2023-44487)怎么修复
01-15
### 如何修复HTTP/2 CVE-2023-44487 拒绝服务漏洞 #### Apache HTTP Server 修复方案 对于Apache HTTP Server,当检测到存在CVE-2023-44487漏洞时,应立即采取措施更新至最新稳定版。官方已针对此问题发布了补丁...
【OPENGIS】Geoserver升级Jetty,不修改java版本
zhoulizhu的博客
12-12 1496
昨天搞了一个的方法,但是需要修改java的版本,因为jetty官方网站下载的jar包是用jdk11编译的,如果不升级java版本,运行就会报错。可是现场环境限制比较多,升级了java版本之后有些老版本的程序又没有办法运行了,所以只能考虑自己用jdk8编译jetty了。这里简单说明一下。
Apache HTTP Server 拒绝服务漏洞CVE-2022-29404)
murphysec的博客
06-08 3097
CVE-2022-29404漏洞是由于Apache HTTP Server 2.4.53 及更早版本中,对可能的输入大小没有默认限制,攻击者可以利用该漏洞造成拒绝服务。该漏洞影响范围广,漏洞等级低。该问题已在新版本中修复,建议用户更新到最新版本。参考链接:https://seclists.org/oss-sec/2022/q2/183 https://httpd.apache.org/security/vulnerabilities_24.html    【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲
深入分析漏洞原理- CVE-2023-44487 HTTP2
2301_80115097的博客
10-31 1016
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
GeoServer踩过的坑-版本升级
yhh1031的博客
11-08 5620
** GeoServer踩过的坑-版本升级 ** 背景 单位需要发布DEM类型数据,发现之前安装2.11.1版本的GeoServer版本太低,不支持官方GeoServer提供的DEM插件;于是决定进行GeoServer版本升级GeoServer版本升级比较简单,只需下载指定版本的GeoServer war包,解压出来,编辑GeoServer安装路径的/webapps/geoserver/WEB-INF/web.xml文件。增加GEOSERVER_DATA_DIR和GEOWEBCACHE_DATA_D
Zookeeper处理jetty CVE-2023-44487漏洞
lanluyug的博客
03-01 2042
Apache HTTP/2拒绝服务漏洞CVE-2023-44487jetty/9.4.52.v20230823。直接在zookeeper安装目录下lib里替换jetty相关的包。重启zookeeper。
CVE-2023-44487漏洞修复
单调枯燥的CC的博客
04-28 5269
CVE-2023-44487漏洞修复
十月补丁星期二值得关注的漏洞
smellycat000的专栏
10-11 248
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士十月补丁星期二Adobe和微软均发布安全更新。Adobe 十月补丁日10月份,Adobe 发布了三份安全公告,修复了位于 Adobe Photoshop、Bridge和Adobe Commerce 中的13个CVE漏洞。其中Commerce 本月修复的漏洞数量最多,共有10个‘’严重”和“重要”级别的漏洞,其中最严重的漏洞可导致攻击者通过SQL注...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值