本文主要是介绍【工作记录】绿盟漏洞处理方案记录@20240905,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
漏洞原因查询网站推荐: 阿里云漏洞库 (aliyun.com)
因Jetty版本原因产生的漏洞问题
目前使用的版本是9.3.25, 升级版本到9.4.55后漏洞都不再提示了。
涉及到的漏洞信息如下:
| 漏洞名称 | 影响版本/修复版本 | 参考链接 |
|---|---|---|
| Eclipse Jetty 资源管理错误漏洞(CVE-2021-28165) | 影响版本: Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1 | https://avd.aliyun.com/detail?id=AVD-2021-28165 |
| Eclipse Jetty不受控制的资源消耗漏洞(CVE-2023-36478) | 7影响版本: 11.0.0至11.0.15版本、10.0.0至10.0.15版本和9.0.0至9.4.52版本中 | https://avd.aliyun.com/detail?id=AVD-2023-36478 |
| Eclipse Jetty 安全漏洞(CVE-2024-22201) | 修复版本: 9.4.54、10.0.20、11.0.20和12.0.6 | https://avd.aliyun.com/detail?id=AVD-2024-22201 |
| Eclipse Jetty 安全漏洞(CVE-2022-2048) | 影响版本: Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本 | https://avd.aliyun.com/detail?id=AVD-2022-2048 |
| Eclipse Jetty 安全漏洞(CVE-2020-27216) | 影响版本: 1.0 thru 9.4.32.v20200930版本, 10.0.0.alpha1 thru 10.0.0.beta2版本, 11.0.0.alpha1 thru 11.0.0.beta2O | https://avd.aliyun.com/detail?id=AVD-2020-27216 |
| Eclipse Jetty跨站脚本执行漏洞(CVE-2019-10241) | 影响版本: Eclipse Jetty 9.2.26及之前版本、9.3.25及之前版本和9.4.15及之前版本 | https://avd.aliyun.com/detail?id=AVD-2019-10241 |
| Eclipse Jetty 资源管理错误漏洞(CVE-2023-26048) | 修复版本: 9.4.54、10.0.20、11.0.20和12.0.6 | https://avd.aliyun.com/detail?id=AVD-2023-26048 |
| Eclipse Jetty 信息泄露漏洞(CVE-2019-10247) | 影响版本: Eclipse Jetty 7.x版本,8.x版本,9.2.27及之前版本,9.3.26及之前版本,9.4.16及之前版本 | https://avd.aliyun.com/detail?id=AVD-2019-10247 |
| Eclipse Jetty 信息泄露漏洞(CVE-2019-10246) | 影响版本;Eclipse Jetty 9.2.27、9.3.26和9.4.16及其之前版本 | https://avd.aliyun.com/detail?id=AVD-2019-10246 |
| Eclipse Jetty信息泄露漏洞(CVE-2021-28169) | 9.4.41、10.0.3、11.0.3 及其之前版本 | https://avd.aliyun.com/detail?id=AVD-2021-28169 |
| Eclipse Jetty 信息泄露漏洞(CVE-2023-26049) | 影响版本未知,建议升级到最新版本 | https://avd.aliyun.com/detail?id=AVD-2023-26049 |
| Eclipse Jetty 安全漏洞(CVE-2023-36479) | 修复版本: 9.4.52, 10.0.16, 11.0.16 and 12.0.0-beta2 | https://avd.aliyun.com/detail?id=AVD-2023-36479 |
临时修复方案: CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复_cve-2022-2048-CSDN博客
Spring Boot Actuator未授权访问漏洞 【原理扫描】
产生原因是系统中暴露了部分监控端点且没有添加权限,解决方案是添加如下配置, 禁用端口
management:endpoints:enabled-by-default: falseserver:port: -1
需要注意的是如果只配置了enabled-by-default:false 再次扫描时还是会提示这个漏洞,加入management.server.port=-1这个配置即可解决了,亲测有效。
验证方式是访问http://ip:port/actuator 及其暴露的其他端点. 如/env, /beans等
Swagger API 未授权访问漏洞【原理扫描】
产生原因是生产环境系统中的swagger未关闭,解决方案是添加配置关闭swagger即可。
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
产生原因是rocketmq的部分端口支持了重协商,可以通过输入命令一直链接,解决方案是修改重协商配置。
参考链接: https://blog.csdn.net/weixin_54626591/article/details/137042422
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
这个问题出现的位置一般都与SSL的配置相关,比如tomcat服务器、nginx配置等等。(针对这些场景网上也有很多对应的方案,不再赘述。)
我这个漏洞产生原因是es在使用searchguard配置ssl时,存在一些dh参数长度为1024的加密算法,被认为是不安全的,
searchguard配置参考链接: https://docs.search-guard.com/latest/configuring-tls
修改方案为修改elasticsearch.yml配置文件,添加如下配置:
searchguard.ssl.http.enabled_protocols:- "TLSv1.2"- "TLSv1.3"searchguard.ssl.http.enabled_ciphers:- "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"- "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"searchguard.ssl.transport.enabled_protocols:- "TLSv1.2"- "TLSv1.3"searchguard.ssl.transport.enabled_ciphers:- "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"- "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
关于ssl的安全漏洞扫描推荐一款工具: testssh
参考文章:
推荐开源项目:testssl.sh - 强大的SSL/TLS检测工具-CSDN博客
TLS/SSL测试神器:testssl.sh安装使用说明-CSDN博客
这篇关于【工作记录】绿盟漏洞处理方案记录@20240905的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
