Eclipse Jetty 安全漏洞(CVE-2017-7656)
一、漏洞信息
- JDK版本:1.8;
- Jetty版本:9.2.3.v20140905
- 风险等级:高危
二、漏洞说明
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 9.2.x及之前版本、9.3.x版本和9.4.x版本中存在安全漏洞,该漏洞源于程序没有正确的处理HTTP/0.9版本协议。攻击者可利用该漏洞造成缓存中毒。
三、加固建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=535667
四、参考链接
CVE官网链接:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2017-7656
CVE详情参考链接:
https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2017-7656
请到官网搜索此漏洞的编号CNNVD-201806-1299,网址:https://www.cnnvd.org.cn/home/loophole
五、解决方案
- Jetty下载地址:https://jetty.org/download.html 升级至对应JDK的最新版本
- 支持JDK1.8最新的Jetty版本为9.4.55.v20240627,windows系统下载zip文件,Linux系统下载tgz文件
- 将之前的Jetty版本备份,将原版本的配置文件与最新的对比进行修改,然后升级漏洞即可解决
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· Docker 太简单,K8s 太复杂?w7panel 让容器管理更轻松!