kettle自带jetty漏洞处理

最新推荐文章于 2025-06-02 14:49:15 发布
最新推荐文章于 2025-06-02 14:49:15 发布
阅读量872 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: jetty 安全 安全威胁分析 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhaodecang/article/details/143146098

1、kettle自带jetty存在的漏洞类型

Jetty 资源管理错误漏洞

受影响版本:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本

Jetty 信息泄露漏洞

受影响版本:Jetty-server 9.4.50及之前版本,10.013及之前版本,11.0.13及之前版本,12.0.0.alpha3及之前版本

Jetty 安全漏洞

Jetty 输入验证错误漏洞

2、处理方式

 用jetty-util-9.4.56.v20240826.jar替换kettle安装目录data_integration\lib下原有jetty-util Jar包

最低0.47元/天 解锁文章

200万优质内容无限畅学
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 3285
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
Jetty Ambiguous Paths 信息泄露漏洞(CVE-2021-28164/CVE-2021-34429)
qq_62056583的博客
07-07 2679
Jetty9.4.37版本中,为了符合。称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理.和..。针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。
CVE-2021-28169源码分析漏洞复现(Jetty信息泄露)
spinage的博客
06-02 924
Jetty ConcatServlet存在多重解码漏洞(CVE-2021-28169),影响Jetty 9.4.0-9.4.39等版本。攻击者通过构造双重URL编码路径(如/%2557EB-INF/web.xml)可绕过安全校验,访问WEB-INF目录下的敏感文件。漏洞源于ConcatServlet处理请求时多次解码URL,而安全校验仅针对首次解码后的路径,导致二次解码后路径被错误放行。官方修复方案是移除二次解码逻辑,仅保留路径规范化。建议升级至Jetty 9.4.40+等修复版本,或通过增强校验、输入过滤
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
Linux环境下升级Kettle中使用的Jetty到9.4.54版本
weixin_43420193的博客
11-02 665
这将下载Jetty 9.4.54版本,解压,替换Kettle中的Jetty文件,并重启Kettle服务。以下是一个简单的脚本,用于在Linux环境下升级Kettle中使用的Jetty到9.4.54版本。请注意,你需要根据你的实际环境调整脚本中的路径。3. 如果你的Kettle服务不是通过`systemctl`管理的,请替换重启Kettle服务的命令为实际的重启命令。2. 替换脚本中的`KETTLE_LIB_DIR`变量为你的Kettle `lib`目录的实际路径。1. 你有足够的权限执行这些操作。
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 1万+
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
web服务器/中间件漏洞系列6:jetty漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 2万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:.和.
常见的中间件漏洞
An_anQ的博客
01-03 1648
WebLogic是美国Oracle公司出品的⼀个application server,确切的说是⼀个基于JAVAEE架构的中间 件,默认端⼝:7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据 库应⽤的Java应⽤服务器。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
jetty-distribution-9.4.47.v20220610
12-12
jetty9.4.47用于部署或替换jar升级jetty解决安全漏洞 下载镜像地址https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
【大数据处理Kettle从数据采集到分布式处理全流程指南:构建高效数据处理系统
最新发布
07-07
内容概要:本文详细介绍了Kettle(Pentaho Data Integration,简称PDI)这款强大的可视化ETL工具,涵盖了从数据采集到分布式处理的完整流程。首先解释了Kettle的基本概念及其在大数据平台中的定位,强调其用于提取、...
大数据技术-数据kettle-大数据基础kettle数据处理-学习(从入门到精通)
03-23
### 大数据技术-数据kettle-大数据基础kettle数据处理-学习(从入门到精通) #### 一、基础知识 **大数据技术**是指在海量、高速数据环境中进行数据管理和处理的技术体系。随着互联网的发展,数据量呈爆炸式增长,...
Jetty HTTP2.0 DoS漏洞分析
BASK2311的博客
05-18 2640
漏洞出现的Jetty版本是9.4.46,理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以,如果使用还在使用低版本Jetty的同学建议升级。作者:CrabGeek链接:https://juejin.cn/post/7233409321340715067。
tomcat拒绝访问是为什么_【安全风险通告】EXP公开,Apache Tomcat WebSocket拒绝服务漏洞安全风险通告...
weixin_39874196的博客
12-06 784
近日,奇安信CERT监测到Apache Tomcat WebSocket存在拒绝服务漏洞(CVE-2020-13935),Tomcat 中 WebSocket 框架没有对请求包长度进行校验,远程攻击者通过发送大量特殊构造的请求包触发无限循环,导致拒绝服务。目前已经监测到可稳定触发拒绝服务(DOS)的EXP。鉴于漏洞危害较大,建议客户升级到最新版本。奇安信 CERT安全通告近日,奇安信CE...
CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复
eyeofeagle的博客
10-05 6830
【代码】CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复。
CVE-2021-28164Jetty 不明确路径信息泄露漏洞
2301_77565393的博客
06-27 592
payload1:/%u002e/WEB-INF/web.xml 利用这个payload 用于绕过限制。执行以下命令以启动 Jetty 9.4.37 服务器。服务器启动后,请访问以查看示例页面。
kettle升级jetty10实验(未完成jaas认证)
shy_snow的专栏
03-09 1879
jetty9.4.x及之前版本存在安全漏洞,需要升级jetty10,研究了下,最终勉强升级了,但是jaas认证没有找到设置的方式.过程如下: 一、研究jetty6升级jetty10的差异。 Mortbay的jetty在最开始的版本,1998年发布Mortbay1.0的jetty,标准为RFC1945,到1999年开始Sourceforge开始接手jetty,2006年Codehaus开始接受jetty,到2008年Eclipse基于jdk1.5开始重写谢jetty,直到现在11.x系列的jetty。je
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8976
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
[CVE-2019-17638]Jenkins自带Jetty的缓冲区损坏
公众号shadow sock7
08-18 1561
参考: https://www.jenkins.io/security/advisory/2020-08-17/ https://github.com/advisories/GHSA-x3rh-m7vp-35f2 https://github.com/eclipse/jetty.project/issues/4936 https://nvd.nist.gov/vuln/detail/2019-17638 这样启动jenkins时使用的是Jenkins自带jettyjava -jar jenkin
eclipse jetty 安全漏洞
09-06
根据引用,eclipse jetty存在一个安全漏洞漏洞编号为GHSA-vjv5-gp2w-65vm。具体的漏洞详情可以参考该引用提供的链接。根据引用,在eclipse jetty的commit记录中,可以找到修复该安全漏洞的提交记录,提交记录的链接也可以在引用中找到。此外,根据引用,可以在org.eclipse.jetty.server.handler.ContextHandler.java文件的isProtectedTarget函数中找到涉及该安全漏洞的校验代码。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析](https://blog.youkuaiyun.com/weixin_50464560/article/details/120608463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值