【工作记录】绿盟漏洞处理方案记录@20240905

2024-09-06 03:36

本文主要是介绍【工作记录】绿盟漏洞处理方案记录@20240905,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞原因查询网站推荐: 阿里云漏洞库 (aliyun.com)

因Jetty版本原因产生的漏洞问题

目前使用的版本是9.3.25, 升级版本到9.4.55后漏洞都不再提示了。

涉及到的漏洞信息如下:

漏洞名称影响版本/修复版本参考链接
Eclipse Jetty 资源管理错误漏洞(CVE-2021-28165)影响版本: Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1https://avd.aliyun.com/detail?id=AVD-2021-28165
Eclipse Jetty不受控制的资源消耗漏洞(CVE-2023-36478)7影响版本: 11.0.0至11.0.15版本、10.0.0至10.0.15版本和9.0.0至9.4.52版本中https://avd.aliyun.com/detail?id=AVD-2023-36478
Eclipse Jetty 安全漏洞(CVE-2024-22201)修复版本: 9.4.54、10.0.20、11.0.20和12.0.6https://avd.aliyun.com/detail?id=AVD-2024-22201
Eclipse Jetty 安全漏洞(CVE-2022-2048)影响版本: Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本https://avd.aliyun.com/detail?id=AVD-2022-2048
Eclipse Jetty 安全漏洞(CVE-2020-27216)影响版本: 1.0 thru 9.4.32.v20200930版本, 10.0.0.alpha1 thru 10.0.0.beta2版本, 11.0.0.alpha1 thru 11.0.0.beta2Ohttps://avd.aliyun.com/detail?id=AVD-2020-27216
Eclipse Jetty跨站脚本执行漏洞(CVE-2019-10241)影响版本: Eclipse Jetty 9.2.26及之前版本、9.3.25及之前版本和9.4.15及之前版本https://avd.aliyun.com/detail?id=AVD-2019-10241
Eclipse Jetty 资源管理错误漏洞(CVE-2023-26048)修复版本: 9.4.54、10.0.20、11.0.20和12.0.6https://avd.aliyun.com/detail?id=AVD-2023-26048
Eclipse Jetty 信息泄露漏洞(CVE-2019-10247)影响版本: Eclipse Jetty 7.x版本,8.x版本,9.2.27及之前版本,9.3.26及之前版本,9.4.16及之前版本https://avd.aliyun.com/detail?id=AVD-2019-10247
Eclipse Jetty 信息泄露漏洞(CVE-2019-10246)影响版本;Eclipse Jetty 9.2.27、9.3.26和9.4.16及其之前版本https://avd.aliyun.com/detail?id=AVD-2019-10246
Eclipse Jetty信息泄露漏洞(CVE-2021-28169)9.4.41、10.0.3、11.0.3 及其之前版本https://avd.aliyun.com/detail?id=AVD-2021-28169
Eclipse Jetty 信息泄露漏洞(CVE-2023-26049)影响版本未知,建议升级到最新版本https://avd.aliyun.com/detail?id=AVD-2023-26049
Eclipse Jetty 安全漏洞(CVE-2023-36479)修复版本: 9.4.52, 10.0.16, 11.0.16 and 12.0.0-beta2https://avd.aliyun.com/detail?id=AVD-2023-36479

临时修复方案: CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复_cve-2022-2048-CSDN博客

Spring Boot Actuator未授权访问漏洞 【原理扫描】

产生原因是系统中暴露了部分监控端点且没有添加权限,解决方案是添加如下配置, 禁用端口

management:endpoints:enabled-by-default: falseserver:port: -1

需要注意的是如果只配置了enabled-by-default:false 再次扫描时还是会提示这个漏洞,加入management.server.port=-1这个配置即可解决了,亲测有效。

验证方式是访问http://ip:port/actuator 及其暴露的其他端点. 如/env, /beans等

Swagger API 未授权访问漏洞【原理扫描】

产生原因是生产环境系统中的swagger未关闭,解决方案是添加配置关闭swagger即可。

服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

产生原因是rocketmq的部分端口支持了重协商,可以通过输入命令一直链接,解决方案是修改重协商配置
参考链接: https://blog.csdn.net/weixin_54626591/article/details/137042422

SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】

这个问题出现的位置一般都与SSL的配置相关,比如tomcat服务器、nginx配置等等。(针对这些场景网上也有很多对应的方案,不再赘述。)

我这个漏洞产生原因是es在使用searchguard配置ssl时,存在一些dh参数长度为1024的加密算法,被认为是不安全的,
searchguard配置参考链接: https://docs.search-guard.com/latest/configuring-tls

修改方案为修改elasticsearch.yml配置文件,添加如下配置:

searchguard.ssl.http.enabled_protocols:- "TLSv1.2"- "TLSv1.3"searchguard.ssl.http.enabled_ciphers:- "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"- "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"searchguard.ssl.transport.enabled_protocols:- "TLSv1.2"- "TLSv1.3"searchguard.ssl.transport.enabled_ciphers:- "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"- "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"- "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"

关于ssl的安全漏洞扫描推荐一款工具: testssh

参考文章:

推荐开源项目:testssl.sh - 强大的SSL/TLS检测工具-CSDN博客

TLS/SSL测试神器:testssl.sh安装使用说明-CSDN博客

这篇关于【工作记录】绿盟漏洞处理方案记录@20240905的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1140887

相关文章

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

高效+灵活,万博智云全球发布AWS无代理跨云容灾方案!

摘要 近日,万博智云推出了基于AWS的无代理跨云容灾解决方案,并与拉丁美洲,中东,亚洲的合作伙伴面向全球开展了联合发布。这一方案以AWS应用环境为基础,将HyperBDR平台的高效、灵活和成本效益优势与无代理功能相结合,为全球企业带来实现了更便捷、经济的数据保护。 一、全球联合发布 9月2日,万博智云CEO Michael Wong在线上平台发布AWS无代理跨云容灾解决方案的阐述视频,介绍了

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

Node.js学习记录(二)

目录 一、express 1、初识express 2、安装express 3、创建并启动web服务器 4、监听 GET&POST 请求、响应内容给客户端 5、获取URL中携带的查询参数 6、获取URL中动态参数 7、静态资源托管 二、工具nodemon 三、express路由 1、express中路由 2、路由的匹配 3、路由模块化 4、路由模块添加前缀 四、中间件

JavaFX应用更新检测功能(在线自动更新方案)

JavaFX开发的桌面应用属于C端,一般来说需要版本检测和自动更新功能,这里记录一下一种版本检测和自动更新的方法。 1. 整体方案 JavaFX.应用版本检测、自动更新主要涉及一下步骤: 读取本地应用版本拉取远程版本并比较两个版本如果需要升级,那么拉取更新历史弹出升级控制窗口用户选择升级时,拉取升级包解压,重启应用用户选择忽略时,本地版本标志为忽略版本用户选择取消时,隐藏升级控制窗口 2.

如何选择SDR无线图传方案

在开源软件定义无线电(SDR)领域,有几个项目提供了无线图传的解决方案。以下是一些开源SDR无线图传方案: 1. **OpenHD**:这是一个远程高清数字图像传输的开源解决方案,它使用SDR技术来实现高清视频的无线传输。OpenHD项目提供了一个完整的工具链,包括发射器和接收器的硬件设计以及相应的软件。 2. **USRP(Universal Software Radio Periphera

Thymeleaf:生成静态文件及异常处理java.lang.NoClassDefFoundError: ognl/PropertyAccessor

我们需要引入包: <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework</groupId><artifactId>sp

工作常用指令与快捷键

Git提交代码 git fetch  git add .  git commit -m “desc”  git pull  git push Git查看当前分支 git symbolic-ref --short -q HEAD Git创建新的分支并切换 git checkout -b XXXXXXXXXXXXXX git push origin XXXXXXXXXXXXXX

记录每次更新到仓库 —— Git 学习笔记 10

记录每次更新到仓库 文章目录 文件的状态三个区域检查当前文件状态跟踪新文件取消跟踪(un-tracking)文件重新跟踪(re-tracking)文件暂存已修改文件忽略某些文件查看已暂存和未暂存的修改提交更新跳过暂存区删除文件移动文件参考资料 咱们接着很多天以前的 取得Git仓库 这篇文章继续说。 文件的状态 不管是通过哪种方法,现在我们已经有了一个仓库,并从这个仓