Jetty安全漏洞曝光,如何保护您的服务器免受攻击?

Jetty是一个开源的Java Web服务器和Servlet容器,广泛用于构建基于Java的Web应用程序,由于其广泛的应用和复杂的功能,Jetty也暴露出多个安全漏洞,以下是一些常见的Jetty漏洞及其详细信息:

Jetty 9.4.37中的敏感信息泄露(CVE-2021-28164)

Jetty安全漏洞曝光,如何保护您的服务器免受攻击?插图1
(图片来源网络,侵删)
漏洞编号 CVE-2021-28164
描述 Jetty在处理URI时,为了符合RFC3986规范,支持了可能有歧义解释的URI,这导致了敏感信息泄露的问题。
利用方式 攻击者可以通过构造特定的URI,如/%2e/WEB-INF/web.xml,来读取服务器上的敏感文件。
影响版本 Jetty 9.4.37
修复建议 升级到Jetty 9.4.39或更高版本。

Jetty 9.4.40中的多重解码问题(CVE-2021-28169)

漏洞编号 CVE-2021-28169
描述 Jetty Servlets中的某些类存在多重解码问题,攻击者可以利用这些类访问WEB-INF目录下的敏感文件。
利用方式 通过双重URL编码绕过限制,例如%252e,可以访问到敏感文件。
影响版本 Jetty 9.4.40, 10.0.2, 11.0.2
修复建议 升级到Jetty 9.4.43、10.0.6或11.0.6。

Jetty 9.2.x及之前版本的HTTP请求走私漏洞(CVE-2017-7658)

漏洞编号 CVE-2017-7658
描述 Jetty在处理HTTP/0.9协议时存在问题,攻击者可以利用该漏洞进行缓存中毒。
风险等级 高危
影响版本 Jetty 9.2.x及之前版本、9.3.x版本和9.4.x版本
修复建议 升级到Jetty 9.4.55.v20240627或更高版本。

Jetty的信息泄露漏洞(CVE-2017-9735)

漏洞编号 CVE-2017-9735
描述 Jetty在某些情况下会泄露服务器的绝对路径和其他敏感信息。
影响版本 Jetty 9.4.6.v20170531, 9.3.20.v20170531, 9.2.22.v20170606
修复建议 升级到Jetty 9.4.17或更高版本。

Jetty的跨站脚本执行漏洞(CVE-2019-10241)

漏洞编号 CVE-2019-10241
描述 Jetty在某些情况下没有正确过滤用户输入,导致跨站脚本攻击。
影响版本 Jetty 9.2.27, 9.3.26, 9.4.16
修复建议 升级到Jetty 9.4.17或更高版本。

是Jetty的一些常见漏洞及其详细信息,为了确保系统的安全性,强烈建议定期检查并更新Jetty的版本,同时遵循安全最佳实践,如避免使用已知存在漏洞的版本。

Jetty安全漏洞曝光,如何保护您的服务器免受攻击?插图3
(图片来源网络,侵删)

到此,以上就是小编对于jetty 漏洞的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。

Jetty安全漏洞曝光,如何保护您的服务器免受攻击?插图5
(图片来源网络,侵删)

本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/68301.html

小末小末
上一篇 2024年10月5日 02:40
下一篇 2024年10月5日 02:51

相关推荐