zookeeper3.6.3升级jetty9.4.47解决安全漏洞CVE-2022-2048和CVE-2021-28169
客户扫描到zookeeper有CVE-2022-2048和CVE-2021-28169安全漏洞要求修复。
漏洞和官方解决办法如下:
一、# CVE-2022-2048 Jetty升级到这几个修复版本9.4.47. 10.0.10, 11.0.10
Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 HTTP/2 请求可能占用连接导致拒绝服务,以下产品和版本受到影响:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。
解决办法: Jetty升级到这几个修复版本9.4.47. 10.0.10, 11.0.10
https://github.com/eclipse/jetty.project/security/advisories/GHSA-wgmr-mf83-7x4j
https://github.com/eclipse/jetty.project/pull/7978/commits/af828e7d4937ea20a4b896f4ad77fc3edd7ff2c4
二、# CVE-2021-28169 Jetty升级到这几个版本9.4.41, 10.0.3 and 11.0.3
Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞。攻击者可利用该漏洞导致有关We应用程序实现的敏感信息泄露。
https://github.com/eclipse/jetty.project/security/advisories/GHSA-gwcr-j4wh-j3cq
三、总之升级到jetty 9.4.47可以修复这两个安全漏洞
jetty 9.4.47下载地址: https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
https://download.csdn.net/download/shy_snow/87269854
个别jar也可以直接从maven仓库下载https://mvnrepository.com/artifact/org.eclipse.jetty/jetty-util-ajax
替换zookeeper的lib目录下的7个jetty为9.4.47版本jar包后重启zookeeper,即可。
相关文章
- Linux.NET学习手记(2)
- 伴随我成长的编程书
- Fish Li 该如何帮助您呢?
- 优化反射性能的总结(下)
- 优化反射性能的总结(中)
- DIY 一套正版、免费、强大的 Visual Studio 2012 IDE
- 优化反射性能的总结(上)
- 逆变与协变详解
- 程序员面试什么最重要?
- HTTP Live Streaming直播(iOS直播)技术分析与实现
- 协议森林14 逆袭 (CIDR与NAT)
- 空难与软件开发(一)
- 协议森林13 9527 (DNS协议)
- 浅谈SQL Server中的三种物理连接操作
- HTTP协议 (六) 状态码详解
- 协议森林11 涅槃 (TCP重新发送)
- LINQ 图解
- 2012,写给24岁的自己
- IIS故障问题(Connections_Refused)分析及处理
- 异步编程:使用线程池管理线程