我有一个Glassfish 4.1.1服务器,有一个漏洞扫描,MCafee Vulnerability Manager发现服务器在管理服务器(端口4848)上有Apache Tomcat目录泄露漏洞[FID 10109]我搜索并且只找到目录横向的解决方案漏洞,任何人都解决了这个漏洞?
答案 0 :(得分:1)
我很确定这实际上并不是GlassFish 4.1.1的问题。没有CVE编号就很难找到这方面的细节,但我找到了McAfee PDF which lists the vulnerability:
搜索BID号码会将我引导至a SecurityFocus page,其中列出的漏洞影响了15年前的Apache Tomcat 3.2。所以这个bug比GlassFish本身要早。
GlassFish的一部分源自Tomcat(Catalina代码的一部分),尽管从那时起它已经发生了很大的变化。 GlassFish中存在的Tomcat代码没有此漏洞那么大,所以我不认为这是一个问题。
我不知道McAfee扫描是如何工作的,因此很难说它是否可能找到了其他内容并错误地将其标记为此错误。即使在那时,我认为McAfee可能会错误地标记错误,因为我之前链接的PDF是在实际发现错误后的10年内发布的。
如果您担心GlassFish的安全性,我建议您查看Payara Server(免责声明:我是Payara的员工)。 GlassFish中存在许多漏洞,这些漏洞现已在Payara Server detailed in the documentation中修复。
有关安全漏洞解决方式的更多详细信息,请参阅此ServerFault答案:
https://serverfault.com/a/818798/175741