全部产品
Search
文档中心

【漏洞公告】GlassFish 任意文件读取漏洞

更新时间: 2018-01-15

漏洞描述

GlassFish 是一款用于构建 Java EE 的应用服务组件,允许开发人员创建可移植且可伸缩的企业应用程序,并与传统技术集成。

GlassFish 存在通用任意文件读取漏洞。利用该漏洞,攻击者可读取服务器上任意文件。

修复方案

  • 关闭远程管理。关闭后只允许本地访问,且会提示要求输入用户名和密码。推荐开发环境或者对服务器安全要求较高的环境选择该方案。

    注意:修改该设置后应重启 GlassFish 服务。

    • Linux 环境:

      1. ./asadmin change-admin-password
      2. ./asadmin disable-secure-admin
      3. ./asadmin stop-domain
      4. ./asadmin start-domain
    • Windows 环境:

      1. asadmin.bat change-admin-password
      2. asadmin.bat disable-secure-admin
      3. asadmin.bat stop-domain
      4. asadmin.bat start-domain
  • 禁用 web.xml theme 映射。

    1. 修改 \glassfish4\glassfish\lib\install\applications__admingui\WEB-INF\web.xml
    2. 重启 GlassFish 后生效。