GlassFish Directory Disclosure漏洞
我有一个Glassfish 4.1.1服务器,有一个漏洞扫描,MCafee Vulnerability Manager发现服务器在管理服务器(端口4848)上有Apache Tomcat目录泄露漏洞[FID 10109]我搜索并且只找到目录横向的解决方案漏洞,任何人都解决了这个漏洞?
1 个答案:
答案 0 :(得分:1)
我很确定这实际上并不是GlassFish 4.1.1的问题。没有CVE编号就很难找到这方面的细节,但我找到了McAfee PDF which lists the vulnerability:
搜索BID号码会将我引导至a SecurityFocus page,其中列出的漏洞影响了15年前的Apache Tomcat 3.2。所以这个bug比GlassFish本身要早。
GlassFish的一部分源自Tomcat(Catalina代码的一部分),尽管从那时起它已经发生了很大的变化。 GlassFish中存在的Tomcat代码没有此漏洞那么大,所以我不认为这是一个问题。
我不知道McAfee扫描是如何工作的,因此很难说它是否可能找到了其他内容并错误地将其标记为此错误。即使在那时,我认为McAfee可能会错误地标记错误,因为我之前链接的PDF是在实际发现错误后的10年内发布的。
如果您担心GlassFish的安全性,我建议您查看Payara Server(免责声明:我是Payara的员工)。 GlassFish中存在许多漏洞,这些漏洞现已在Payara Server detailed in the documentation中修复。
有关安全漏洞解决方式的更多详细信息,请参阅此ServerFault答案:
https://serverfault.com/a/818798/175741
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?