< 文档首页
全部产品
弹性计算
存储
数据库
安全
大数据
人工智能
网络与CDN
视频服务
容器与中间件
开发与运维
API与工具
物联网
物联网行业方案
专有云
专有云(线下)
企业应用与服务
数字金融
域名与网站
工商财税与知识产权
解决方案
会员服务
更多

    【漏洞公告】GlassFish 任意文件读取漏洞

    KB: 37534

     · 

    更新时间:2017-11-14 13:06

    我的收藏
    本页目录

    漏洞描述

    GlassFish 是一款用于构建 Java EE 的应用服务组件,允许开发人员创建可移植且可伸缩的企业应用程序,并与传统技术集成。

    GlassFish 存在通用任意文件读取漏洞。利用该漏洞,攻击者可读取服务器上任意文件。

    修复方案

    • 关闭远程管理。关闭后只允许本地访问,且会提示要求输入用户名和密码。推荐开发环境或者对服务器安全要求较高的环境选择该方案。

      注意:修改该设置后应重启 GlassFish 服务。

      • Linux 环境:

        1. ./asadmin change-admin-password
        2. ./asadmin disable-secure-admin
        3. ./asadmin stop-domain 
        4. ./asadmin start-domain

      • Windows 环境:

        1. asadmin.bat change-admin-password
        2. asadmin.bat disable-secure-admin
        3. asadmin.bat stop-domain 
        4. asadmin.bat start-domain

    • 禁用 web.xml theme 映射。

      1. 修改 \glassfish4\glassfish\lib\install\applications__admingui\WEB-INF\web.xml
      2. 重启 GlassFish 后生效。