Eclipse Jetty CVE-2017-7658、CVE-2018-12538、CVE-2017-7656、CVE-2018-12545、CVE-2017-9735、CVE-2019-10241

最新推荐文章于 2025-09-05 14:51:42 发布
原创 最新推荐文章于 2025-09-05 14:51:42 发布 · 6.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #jetty #安全漏洞

本文介绍了如何解决服务器上发现的Jetty安全漏洞问题,提供了两种解决方案:一是通过Maven更新Jetty依赖至9.4.17.v20180605版本;二是直接修改Jetty的jar包版本信息或启动脚本添加-Djetty.version参数。这些方法有助于提升服务器的安全性。
该文章已生成可运行项目,

最近服务器扫描出现jetty安全漏洞,记录下解决方案

在这里插入图片描述

解决方案

有两个解决方式,一种是升级jetty,一种更改版本

升级jetty,Maven pom依赖修改版本

<dependencyManagement>
	<dependencies>
		<dependency>
			<groupId>org.eclipse.jetty</groupId>
			<artifactId>jetty-server</artifactId>
			<version>9.4.17.v20180605</version>
	   </dependency>
   </dependencies>
</dependencyManagement>

更改版本(绕过扫描)

更改版本分两种情况

jar包方式更改
找到应该服务的jar包 (如:jetty-server-7.6.16.v20140903.jar)
用解压工具打开
进入到META-INF文件夹下
编辑 MANIFEST.MF
把这两行版本信息替换掉
	Implementation-Version: 9.4.17
	Bundle-Version: 9.4.17
启动脚本方式更改
启动脚本添加 -Djetty.version=9.4.17
本文章已经生成可运行项目
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164)
qq_51577576的博客
09-11 2325
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164) . 和 .. 称为点段,都是为路径名层次结构中的相对引用而定义的,它们在一些操作系统文件目录结构中分别代表当前目录和父目录。但是与文件系统不同的是,这些点段仅在 URI 路径中解释层次结构,并作为解析过程的一部分被删除。也就是说在解析URI路径时,需要先处理 . 和 .. Jetty为了符合这种处理方式,却导致了一系列的漏洞产生
Zookeeper占的那些端口 -Eclipse Jetty安全漏洞说起
若鱼的专栏
10-11 2423
起因 系统扫描报Jetty漏洞,很奇怪,系统中明明没有使用Jetty! 后来发现是Zookeeper中会使用Jetty,因为有使用Kafka,所以也使用了Zookeeper。 Zookeeper使用Jetty主要干2个事情: 1)提供给Prometheus用来输出监控指标用,占用端口7000 2)提供给AdminServer用来查询系统配置项,占用端口8080 也就是说,只要禁用这两个功能就可以了。 1)禁用7000端口 看下官方文档的描述: Since 3.6.0 ZooKeeper binary pa
Eclipse Jetty Server 安全漏洞(CVE-2017-7658)
热门推荐
暴暴风的博客
03-19 1万+
@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) ) 1、 问题: 最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞! 直接把修复建议都给出了,那好参照建议链接: 2、分析 然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。 于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-cen
Eclipse Jetty安全漏洞
最新发布
weixin_61594803的博客
09-05 1046
Jetty是一款轻量级Java Web服务器和Servlet容器,支持HTTP请求处理、Servlet/JSP标准和WebSocket,具有高并发、模块化和可嵌入特性(如Spring Boot内置)。解决其安全漏洞的关键步骤包括:订阅官方安全公告、使用扫描工具检测漏洞、评估CVSS风险评分,优先升级到修复版本(如9.4.53修复CVE-2024-22201),或通过WAF/反向代理临时防护。建议建立自动化依赖检查和定期更新机制,确保系统安全闭环管理。
eclipse使用安装jetty
CharlotteRong
07-16 928
Jetty — 是一个Java EE服务器 Jetty有专门的Eclipse插件叫做:run-jetty-run 按照Eclipse安装插件的标准步骤: 1、Help -> Install New Software 在Work with中输入:http://run-jetty-run.googlecode.com/svn/trunk/updatesite 会出现2个RunJettyR
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 3741
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
最新系统漏洞--Eclipse Jetty信息泄露漏洞
weixin_48555088的博客
10-22 1万+
最新系统漏洞2021年10月22日 受影响系统: Eclipse Jetty <= 9.4.40 Eclipse Jetty <= 11.0.2 Eclipse Jetty <= 10.0.2 描述: CVE(CAN) ID: CVE-2021-28169 Eclipse JettyEclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞
Eclipse使用Jetty(转)
weixin_30566111的博客
04-06 93
eclipsejetty 结合的最佳实践 http://www.cnblogs.com/mignet/archive/2011/12/04/eclipse_jetty_perfect_integrate.html Eclipse中的安装配置Jetty http://www.cnblogs.com/sjzzqy/archive/2013/02/27/Jetty.html 注意: ...
jetty-util-6.1.25.jar
01-10
jetty-util-6.1.25.jarjetty-util-6.1.25.jarjetty-util-6.1.25.jar
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
qq_51577576的博客
09-12 2082
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
eclipse-jetty 3.9.0 eclipsejetty插件 离线安装包
02-16
比run-jetty-run启动要快,但是调试没有run-jetty-run方便。 eclipse插件 离线安装包 Eclipse中Install New Software 然后Add -> Archive,选择该包安装即可 此为最新的3.9.0版。 支持eclipse Neon (4.6), Mars (4.5), Luna (4.4), Kepler (4.3), Juno (4.2, 3.8) 支持Jetty7, Jetty8, jetty9, Servlet3
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-14 7751
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
eclipse中使用jetty
闲人别居
04-12 307
不会发图片,还是参见我在blogjava的文章: http://www.blogjava.net/zyl/archive/2007/04/12/jetty2.html
Eclipse Jetty Server 安全漏洞
聆听梦飞扬的博客
12-24 6738
Eclipse Jetty Server 安全漏洞
Eclipse中运行Jetty
你的爱是我走不出的银河!
06-12 914
Jetty有一个优点就是加载速度快,特别适合那些在开发过程没耐心等待容器缓慢加载的同学。在Eclipse中运行有若干个方法,我今天介绍的是通过EclipseJetty插件来实现Jetty的启动。安装Jetty的插件安装地址是http://run-jetty-run.googlecode.com/svn/trunk/updatesite。安装过程很简单就不在说明了,还有一些有用的Eclipse插件
Eclipse 安装 Jetty 插件
Loading knowledge here.
09-18 524
  在现在的项目中采用了 Jetty 作为项目的 WEB 容器,所以简单整理一下 Eclipse 集成 Jetty 插件的过程。   1. 打开 Eclipse 菜单 Help --&gt; Eclipse Marketplace,打开后如下图所示:   2. 在 Find 输入框输入 “jetty” 并回车,将会检索出 Jetty 插件,如下图所示:   3. 点击上图中的 "...
[转载]在eclipse中使用jetty
congji3817的博客
06-01 278
eclipse中使用jettyeclipse中使用jetty是非常简单的,对于其他的ide配置基本上都一致。以前如果想调试web服务,必须要在庞大的开发插件下进行,如 myeclipse,其实只是需要简单的功能,然而却不得...
Eclipse Jetty 资源管理错误漏洞(CVE-2023-26048)
07-02
从引用内容看,用户之前接触过Jetty漏洞修复(如CVE-2017-7658),说明ta对Maven依赖管理有一定经验。但这次询问的是2023年的新漏洞,需要提供最新信息。 关于漏洞本身,根据公开资料: -漏洞编号:CVE-2023-26048-...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值