GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题

已于 2024-12-30 18:30:59 修改
阅读量2.8k 收藏 9
点赞数 6
文章标签: eclipse jetty java
于 2024-02-06 12:02:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/diaya/article/details/136053288
版权

 Eclipse Jetty 资源管理错误漏洞(CVE-2021-28165) 

Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7656)

 Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7657)

 Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)

 Jetty 信息泄露漏洞(CVE-2017-9735)

Eclipse Jetty 安全漏洞(CVE-2022-2048)

 Eclipse Jetty 信息泄露漏洞(CVE-2019-10247)

   接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。需要升级GeoServer来解决:

 1、将原有数据文件夹data_dir备份, 供后续使用。

2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。

3、从网上OpenJDK Downloads | Download Java JDK 8, 11 & 17 | OpenLogic下载 Jre11,从GeoServr下载 Geoserver2.23.4  。官网的geoserver 下载非常慢,特将下载的文件上传csdn资源了,可点其下载:

最低0.47元/天 解锁文章
diaya
关注
【OPENGIS】Geoserver升级Jetty,不修改java版本
zhoulizhu的博客
12-12 1442
昨天搞了一个的方法,但是需要修改java的版本,因为jetty官方网站下载的jar包是用jdk11编译的,如果不升级java版本,运行就会报错。可是现场环境限制比较多,升级java版本之后有些老版本的程序又没有办法运行了,所以只能考虑自己用jdk8编译jetty了。这里简单说明一下。
【OPNEGIS】Geoserver原地升级jetty解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7031
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 9717
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
2024年零日漏洞利用七大趋势, 从零基础到精通,收藏这篇就够了!
最新发布
程序员阿飘 的博客
03-06 782
未修补的漏洞一直是攻击者入侵企业系统的重要手段,尤其是零日漏洞。由于这些漏洞没有修复方案,攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年,零日漏洞数量再次大幅增长,攻击者借此获得了先发优势,成为攻击企业网络和数据的关键武器。虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复,但其中有些漏洞因其,值得特别留意。这些漏洞不仅揭示了攻击者的新兴目标,还暴露了攻击手法的演变。以下是,CISO和企业安全团队应特别关注。1
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8621
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
GeoServer 2.25.0 发布新功能及升级
GIS工具
03-28 2125
GeoServer 2.25.0版本现已提供下载(bin、 war、 windows)以及 文档和 扩展。这是推荐用于生产用途的 GeoServer 的稳定版本。GeoServer 2.25.0 是与 GeoTools 31.0 和 GeoWebCache 1.25.0 结合使用的。
Eclipse Jetty Server 安全漏洞
聆听梦飞扬的博客
12-24 6391
Eclipse Jetty Server 安全漏洞
GeoServer踩过的坑-版本升级
yhh1031的博客
11-08 5547
** GeoServer踩过的坑-版本升级 ** 背景 单位需要发布DEM类型数据,发现之前安装2.11.1版本的GeoServer版本太低,不支持官方GeoServer提供的DEM插件;于是决定进行GeoServer版本升级GeoServer版本升级比较简单,只需下载指定版本的GeoServer war包,解压出来,编辑GeoServer安装路径的/webapps/geoserver/WEB-INF/web.xml文件。增加GEOSERVER_DATA_DIR和GEOWEBCACHE_DATA_D
Eclipse Jetty Server 安全漏洞(CVE-2017-7658)
暴暴风的博客
03-19 1万+
@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) ) 1问题: 最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞! 直接把修复建议都给出了,那好参照建议链接: 2、分析 然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。 于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-cen
GeoServer解决jetty和tomcat服务访问跨域的问题
12-22
### GeoServer解决Jetty和Tomcat服务访问跨域的问题 #### 一、Windows环境下Geoserver安装包的跨域解决方案 在使用Geoserver时,可能会遇到服务访问跨域的问题,尤其是在使用Geoserver安装程序在Windows环境中部署...
geoserver2.11.1
02-09
使用java编写的开源地图发布工具geoserver在windows上的安装版本
GeoServer最新稳定版2.13.2
08-10
资源包括GeoServer最新稳定版2.13.2的各个版本,包括war包直接部署到服务器,和Windows安装版本。
开源GIS服务平台 最新的GeoServer2.23.3版本的部署包
11-09
开源GIS服务平台。GeoServer2.23.3版本的部署War包。可以直接在tomcat里面解压war包就可以直接使用了。
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
Geoserver跨域问题解决方案
12-06
在IT行业中,尤其是在Web开发领域,跨域问题是一个常见的挑战,尤其当涉及到GIS(地理信息系统)服务时,如GeoserverGeoserver是一个开源的、基于Java的服务器,用于发布和管理地理空间数据。当从一个源(如浏览器...
升级geoserver2.3,地图服务配置到其他服务器上变得简单。以及相应小bug
wxljmy的专栏
04-20 1540
geoserver2.0升级2.3之后,发现地图服务的发布变得相对简单了。原来的2.0的地图包括几个目录,layergroup,styles,workspace等等,并且与geoserver自带的文件混在一块,不利于迁移或保存。 安装geoserver2.3后,发现在这方面做了很好的优化。自己建的workspace,之后所有的store,layergroup,style等均在这个worksp
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty 的漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞。 漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
Geoserver使用】Geoserver 3前瞻
114514的博客
09-16 993
今天来看看最近Geoserver官方发布的关于Geoserver 3重大升级众筹这篇官方博客中提到的几个升级方向。今天简要阅读了下Geoserver官方与大版本升级相关的博客,提到了几个升级方向,主要与性能、安全和用户体验相关。也期待Geoserver这一开源GIS平台的未来发展。
坐标系问题geoserver2.0升级2.3
wxljmy的专栏
04-19 1916
1、在geoserver2.0中,默认一般都是EPSG:4326 打开图层。实际某城市地图,在2.0中必须使用EPSG:4214 (beigjing 1954)。但是升级geoserver2.3后,这两种坐标打开的图层变形厉害,怎么修改样式都不行,最后使用EPSG:2311 (WGS84 /TM 6 NE)可以。 2、在udig1.4中,使用2311倒打不开了,使用4326,4214都没有问题
geoserver漏洞
02-13
### GeoServer 安全漏洞列表及修复方法 #### 升级解决 Eclipse Jetty安全漏洞 GeoServer 2.11.1 版本中使用的 Jetty 中间件存在多个已知的安全漏洞。为了应对这些安全隐患,建议升级至更高版本的 GeoServer解决问题[^1]。 #### 远程代码执行漏洞 (CVE-2024-36401) 官方发布了针对 CVE-2024-36401 漏洞的补丁更新,用户可以从 GitHub 上获取最新版软件包并安装以消除这一高危威胁。此外,还提供了专门用于检测该漏洞是否存在以及验证修补效果的相关工具[^2]。 #### WMS 接口远程代码执行漏洞 (CVE-2022-24816) 未授权访问者能够借助 `/geoserver/wms` 路径发起攻击,在目标机器上运行恶意指令。对于此类情况,应当及时应用来自供应商发布的热修复程序或者迁移到不受影响的新发行版之上[^3]。 #### 目录遍历漏洞及其防范措施 当应用程序未能正确过滤输入参数时可能会暴露出内部资源路径给外部请求查看甚至读取私密文档内容的风险。具体预防手段包括但不限于调整 Web Server 设置防止自动显示子文件夹清单;强化存储位置访问控制策略确保只有合法进程才有权操作指定区域内的资料;另外还可以考虑向各层增加默认首页文件以防意外暴露真实物理地址信息[^4]。 ```bash # 更新 Geoserver 到最新稳定版本 wget https://sourceforge.net/projects/geoserver/files/GeoServer/<latest_version>/geoserver-<latest_version>-bin.zip/download unzip geoserver-<latest_version>-bin.zip -d /opt/ ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

diaya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值