- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2021/07/27
Jetty 是一个开源的servlet容器,它为基于Java的web容器,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。近日,新华三攻防实验室监测到Jetty官方发布了一则关于修复Jetty WEB-INF文件读取漏洞(CVE-2021-34429)的安全通告,并进行了跟踪和分析。
Jetty 9.4.37引入对RFC3986的新实现,而URL编码的.字符被排除在URI规范之外,这个行为在RFC中是正确的,但在servlet的实现中导致攻击者可以通过对.字符URL编码来绕过限制,下载WEB-INF目录下的任意文件(CVE-2021-28164)。上述漏洞在9.4.39中已经修复,但修复的并不彻底,攻击者仍然可以通过构造特殊的HTTP请求,绕过补丁去访问 WEB-INF 目录下的受保护资源。
搭建漏洞环境,直接访问/WEB-INF/web.xml将会返回404页面:
构造恶意请求,可绕过限制,实现对/WEB-INF/web.xml文件访问。
9.4.37 < jetty < 9.4.42
10.0.1 < jetty < 10.0.5
11.0.1 < jetty < 11.0.5
官方发布的新版本已经修复了此漏洞,请受影响的用户升级 jetty版本。下载地址:
https://www.eclipse.org/jetty/download.php
1、新华三安全设备防护方案
新华三IPS规则库1.0.141版本将支持对该漏洞利用的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
产品与解决方案
