glassfish人已文件读取后续

匿名者  1138天前

一、详细说明:看了几份关于glassfish任意文件读取的安全报告,发现包括绿盟在内的几个安全团队都建议升级4.1.1来修复漏洞,然而实践证明,并没有什么用。官方发布的补丁并没有修复,大家的安全报告都像是抄来的,基本相似,并没有实际用处。这样的情况真的挺尴尬啊= =!

这里再贴一个再阿里云看到的修复方案,亲测有效:

禁用web.xml theme映射

修改 \glassfish4\glassfish\lib\install\applications\__admingui\WEB-INF\web.xml,将以下代码注释掉。

<!--
    <servlet-mapping>
        <servlet-name>ThemeServlet</servlet-name>
        <url-pattern>/theme/*</url-pattern>
    </servlet-mapping>
-->

重启glassfish后生效


二、问题证明:大家可以自行验证

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号