GlassFish 目录泄露漏洞
GlassFish Directory Disclosure Vulnerability
我有一个 Glassfish 4.1.1 服务器,使用 MCafee Vulnerability Manager 进行的漏洞扫描发现该服务器在管理服务器(端口 4848)上存在 Apache Tomcat 目录泄露漏洞 [FID 10109] 我搜索并只找到Directory Transversal漏洞的解决方案,有人解决过这个漏洞吗?
我相当确定这实际上不是 GlassFish 4.1.1 的问题。如果没有 CVE 编号,很难找到这方面的详细信息,但我找到了 McAfee PDF which lists the vulnerability:
搜索 BID 编号使我找到 a SecurityFocus page,其中列出了 15 年前影响 Apache Tomcat 3.2 的漏洞。所以这个错误比 GlassFish 本身更早。
GlassFish 的一部分派生自 Tomcat(Catalina 代码的一部分),尽管此后它发生了很大变化。 GlassFish 中确实存在的 Tomcat 代码没有这个漏洞那么古老,所以我认为这不是问题。
我不知道 McAfee 扫描是如何工作的,所以很难说它是否发现了其他东西并将其错误地标记为这个错误。即便如此,我认为 McAfee 可能错误地标记了事情,因为我之前链接到的 PDF 来自实际发现错误 10 年后。
不过,如果您担心 GlassFish 的安全性,我建议您看看 Payara Server(免责声明:我是 Payara 的员工)。 GlassFish 中存在许多漏洞,现在已在 Payara Server 中修复,detailed in the documentation。
有关解决安全漏洞的方式的更多详细信息,请参阅此 ServerFault 答案:
https://serverfault.com/a/818798/175741
我有一个 Glassfish 4.1.1 服务器,使用 MCafee Vulnerability Manager 进行的漏洞扫描发现该服务器在管理服务器(端口 4848)上存在 Apache Tomcat 目录泄露漏洞 [FID 10109] 我搜索并只找到Directory Transversal漏洞的解决方案,有人解决过这个漏洞吗?
我相当确定这实际上不是 GlassFish 4.1.1 的问题。如果没有 CVE 编号,很难找到这方面的详细信息,但我找到了 McAfee PDF which lists the vulnerability:
搜索 BID 编号使我找到 a SecurityFocus page,其中列出了 15 年前影响 Apache Tomcat 3.2 的漏洞。所以这个错误比 GlassFish 本身更早。
GlassFish 的一部分派生自 Tomcat(Catalina 代码的一部分),尽管此后它发生了很大变化。 GlassFish 中确实存在的 Tomcat 代码没有这个漏洞那么古老,所以我认为这不是问题。
我不知道 McAfee 扫描是如何工作的,所以很难说它是否发现了其他东西并将其错误地标记为这个错误。即便如此,我认为 McAfee 可能错误地标记了事情,因为我之前链接到的 PDF 来自实际发现错误 10 年后。
不过,如果您担心 GlassFish 的安全性,我建议您看看 Payara Server(免责声明:我是 Payara 的员工)。 GlassFish 中存在许多漏洞,现在已在 Payara Server 中修复,detailed in the documentation。
有关解决安全漏洞的方式的更多详细信息,请参阅此 ServerFault 答案:
https://serverfault.com/a/818798/175741