1
글래스 피쉬 4.1.1 서버가 있는데, MCafee Vulnerability Manager의 취약점 스캔을 통해 서버에 관리 서버 (포트 4848)에 Apache Tomcat 디렉토리 공개 취약점 [FID 10109]이 있다는 것을 알았습니다. 어느 디렉토리 횡단 취약점에 대한 솔루션, 어느 누구도이 취약점을 해결 했습니까?GlassFish 디렉토리 유출 취약점
A
답변
1
GlassFish 4.1.1에서는 실제로 문제가되지 않습니다. 그것은 CVE 번호없이 이에 대한 세부 정보를 찾기 위해 매우 어렵다, 그러나 나는 McAfee PDF which lists the vulnerability 발견 : 입찰 번호 검색
이
15 년 전에 아파치 톰캣 3.2에 영향을 미치는으로 취약점을 나열 a SecurityFocus page에 저를 이끌어 . 따라서이 버그는 GlassFish 자체보다 오래되었습니다.
GlassFish의 일부는 Tomcat (Catalina 코드의 일부)에서 파생되었지만 그 이후로 많이 변경되었습니다. GlassFish에 존재하는 Tomcat 코드는이 취약점만큼 오래되지 않았으므로 여기서 이것이 문제라고 생각하지 않습니다.
나는 McAfee 스캔이 어떻게 작동하는지 알지 못하기 때문에 다른 어떤 것을 발견했을 수 있으며이 버그로 잘못 표시했는지는 말하기 어렵습니다. 그렇더라도 이전에 링크 된 PDF는 버그가 실제로 발견 된 후 10 년 후에 나왔기 때문에 McAfee가 잘못 표시했다고 생각합니다.
GlassFish의 보안이 걱정된다면 Payara Server (고지 사항 : 저는 Payara의 직원입니다)를 살펴 보는 것이 좋습니다. GlassFish에는 Payara Server, detailed in the documentation에서 수정 된 여러 가지 취약점이 있습니다. 보안 취약점을 해결하는 방법에
자세한 내용은이에 Serverfault 대답에서 찾을 수 있습니다
https://serverfault.com/a/818798/175741