Reactor Netty HTTP Server 路径穿越漏洞
漏洞描述
Netty 是一个用于开发Java网络应用程序的非阻塞 I/O框架,Reactor Netty是基于Netty框架的非阻塞请求客户端与服务端。
Reactor Netty HTTP Server <1.1.13或<1.0.39版本中 ,当Reactor Netty HTTP Server被配置为提供静态资源时,url中的scheme会被传递到UriEndpoint中并与pathAndQuery拼接,返回对应的文件,导致路径穿越攻击。
漏洞修复通过增加 validateScheme 方法对 scheme 进行验证,避免路径穿越。
| 漏洞名称 | Reactor Netty HTTP Server 路径穿越漏洞 |
|---|---|
| 漏洞类型 | 路径遍历 |
| 发现时间 | 2023-11-16 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-4391-uwmo |
| CVE编号 | CVE-2023-34062 |
| CNVD编号 | - |
影响范围
io.projectreactor.netty:reactor-netty-http@[1.0.0, 1.0.39)
io.projectreactor.netty:reactor-netty-http@[1.1.0, 1.1.13)
修复方案
将 io.projectreactor.netty:reactor-netty-http 升级至 1.0.39 、1.1.13及以上版本
将组件 io.projectreactor.netty:reactor-netty-http 升级至 1.0.39 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-4391-uwmo
https://nvd.nist.gov/vuln/detail/CVE-2023-34062
https://spring.io/security/cve-2023-34062
https://github.com/advisories/GHSA-xjhv-p3fv-x24r
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Apache Hadoop YARN Secure Containers 权限提升漏洞
漏洞描述 Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。YARN Secure Containers功能用于在隔离的 linux 容器中执行用户提交的应用程序,container-executor是用来启动与管理Container的工具。 Apache Hadoop 在 3.3.1-3.3.4 版本中,由于container-executor命令被设置成suid位并以root身份执行,动态链接库加载路径变为:"$ORIGIN/:…/lib/native/"。如果经过身份认证的攻击者可以向 yarn 集群提交在宿主机上运行的任务,并在"$ORIGIN/:../lib/native/"中增加同名libcrypto.so,从而利用此漏洞加载恶意 so 文件并提升到 root 权限。 漏洞名称 Apache Hadoop YARN Secure Containers 权限提升漏洞 漏洞类型 输入验证不恰当 发现时间 2023-11-16 漏洞影响广度 小 MPS编号 MPS-2023-4973 CVE编号 CVE-2023-26031 CNVD编号...
- 下一篇
Dromara 社区新晋开源项目 - Akali(阿卡丽),轻量化的热点&降级处理框架!
前言 Dromara社区再添一个成员项目! 今天为大家介绍的是——Akali。 它轻量小巧,来无影去无踪,不足500行代码,却能解决高流量场景中主要的问题:热点处理和降级处理。 介绍 Akali(阿卡丽)是一个轻量级本地化热点检测/降级框架,适用于大流量场景,可轻松解决业务中超高流量的并发查询等场景。并且接入和使用极其简单,10秒钟即可接入使用! Akali框架的理念就是小巧,实用,丝血团战,满血退场,所到之处,皆为虚无。 Gitee:https://gitee.com/dromara/Akali Github:https://github.com/bryan31/Akali 官方网站:https://akali.yomahub.com/ 使用 引入依赖: <dependency> <groupId>com.yomahub</groupId> <artifactId>akali</artifactId> <version>1.0.1</version> </dependency>...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8安装Docker,最新的服务器搭配容器使用
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
微信收款码
支付宝收款码