漏洞修复整理
一、Geoserver Apache HTTP/2拒绝服务漏洞(CVE-2023-44487)、Eclipse Jetty 资源管理错误漏洞(CVE-2023-26048)、Eclipse Jetty 信息泄露漏洞(CVE-2023-26049)
受影响版本:9.4.53以下版本
处理方式:原地升级 ( jdk版本1.8 对应jetty版本9.4.*,geo 2.22.1)
具体步骤:1. jar包替换 替换lib里边的jetty包
去jetty官网下载jetty包。
直接解压进行替换,总共需要替换13个jar,如下图所示:
2.替换start.jar包
3.执行启动脚本 *** startUp.sh **
报错:java.net.UnknownHostException:java.sun.com
解决:web.xml 中 doctype声明部分直接替换即可。
替换前:
<?xml version="1.0" encoding="UTF-8"?>
。。。。。。
替换后(实际就是去掉第二行,把内容写到web-app中,重新启动成功,问题解决):
<?xml version="1.0" encoding="UTF-8"?>
。。。。。。。。
二、nacos未授权访问漏洞
1.修改pom.xml依赖,如下图所示:
2.修改bootstrap.yml配置,如下图所示:
- 修改nacos application.properties 配置,如下图红框所示:
4.运行调试
三、8080端口 Apache HTTP/2拒绝服务漏洞(CVE-2023-44487)
zookeeper的内嵌管理控制台是由jetty启动的,默认为http端口为8080;存在一定的信息泄露及安全隐患,如无必要建议禁用。
在bin/zkServer.sh文件中,nohup下加一条参数关闭服务 “-Dzookeeper.admin.enableServer=false” 重新启动zookeeper ,8080端口就没了