< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
API与工具
解决方案
钉钉
会员服务
更多

    【漏洞公告】GlassFish 任意文件读取漏洞

    更新时间:2017-11-14 13:06:16

    ★ 我的收藏
    本页目录

    漏洞描述

    GlassFish 是一款用于构建 Java EE 的应用服务组件,允许开发人员创建可移植且可伸缩的企业应用程序,并与传统技术集成。

    GlassFish 存在通用任意文件读取漏洞。利用该漏洞,攻击者可读取服务器上任意文件。

    修复方案

    • 关闭远程管理。关闭后只允许本地访问,且会提示要求输入用户名和密码。推荐开发环境或者对服务器安全要求较高的环境选择该方案。

      注意:修改该设置后应重启 GlassFish 服务。

      • Linux 环境:

        1. ./asadmin change-admin-password
        2. ./asadmin disable-secure-admin
        3. ./asadmin stop-domain 
        4. ./asadmin start-domain

      • Windows 环境:

        1. asadmin.bat change-admin-password
        2. asadmin.bat disable-secure-admin
        3. asadmin.bat stop-domain 
        4. asadmin.bat start-domain

    • 禁用 web.xml theme 映射。

      1. 修改 \glassfish4\glassfish\lib\install\applications__admingui\WEB-INF\web.xml
      2. 重启 GlassFish 后生效。
    上一篇:【漏洞公告】ThinkPHP 报错页面信息泄露
    下一篇:【漏洞公告】Apache HttpOnly Cookie 泄漏漏洞
    相关文档