Apache Geronimo RMI类加载器安全绕过漏洞

xuejiazhi 2013-07-03

发布日期:2013-07-01
更新日期:2013-07-03

受影响系统:
Apache Group Geronimo 3.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 60875
 CVE(CAN) ID: CVE-2013-1777
 
Apache Geronimo 是一个轻量级J2EE应用服务器。
 
Apache Geronimo 3.0, 3.0 Beta 1, 3.0 M1存在安全绕过漏洞,RMI类加载器配置错误可使攻击者通过JMX发送序列化的对象破坏应用,从而绕过安全限制执行未授权操作。
 
<*来源:Pierre Ernst
 
  链接:http://seclists.org/bugtraq/2013/Jul/7
        http://seclists.org/fulldisclosure/2013/Jul/3
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Apache Group
 ------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://geronimo.apache.org/

xuejiazhi

xuejiazhi

相关推荐

.NET Core下使用Kafka的方法步骤

# 修改每个topic的默认分区参数num.partitions,默认是1,具体合适的取值需要根据服务器配置进程确定,UCloud.ukafka = 3. Segment:partition物理上由多个segment组成,下面2.2和2.3有详细说明。pa

Kafka / 0评论 2020-09-18

解决PHPstudy Apache无法启动的问题【亲测有效】

原因一是防火墙拦截,关闭防火墙。二是80端口已经被别的程序占用,如IIS,迅雷等;三是没有安装VC9运行库,php和apache都是VC9编译。解决以上三个问题,基本上都是可以一次安装完成的。但是,But,但是,上面的方法都试过之后还是无法启动呢?最有效,

Wepe0 / 0评论 2020-10-30

Web安全:文件解析漏洞

PHP是用C语言编写的,MySQL则是用C++编写的,而Apache则大部分是使用C语言编写的,少部分是使用C++编写的。所以,文件解析漏洞的本质还是需要我们挖掘C语言、C++的漏洞。文件解析漏洞是指中间件在解析文件时出现了漏洞,从而攻击者可以利用该漏洞实

杜倩 / 0评论 2020-10-29

终于有人把Nginx说清楚了,图文详解!

想必大家一定听说过 Nginx,若没听说过它,那么一定听过它的"同行"Apache 吧!这也使得各个 Web 服务器有着各自鲜明的特点。Apache 的发展时期很长,而且是毫无争议的世界第一大服务器。这些都决定了 Apache 不可能成

windle / 0评论 2020-10-29

为什么Java仍将是未来的主流语言?

Java是一种通用编程语言,1995年由Sun Micro-systems公司开发。尽管已经有25年的历史,但它仍然统治着整个世界。根据Stack-overflow的开发者调查,它在2019年最受欢迎的语言中排名第5。超过41%的调查用户将Java标记为

minerd / 0评论 2020-10-28

如何使用Apache Web服务器来安装和配置网站?

Apache可与MySQL、PHP及另外大量软件包无缝协作,以便您架设简单的静态或动态网站。如何安装和配置服务器?您将文件放置在哪里?不妨介绍这方面,每次一个步骤。我将在Ubuntu Server 20.04上进行演示。不过先介绍一点基础知识。比如说,在基

mengzuchao / 0评论 2020-10-22

CentOS 8 Apache 安装后 SSL 重定向提示证书错误

在启用 SSL 后,我们也希望将主域名重定向到 www。如果我们按照 80 端口的 http 配置的,你可能会得到浏览器的安全配置。这是因为如果你在 HTTPS 的 SSL 中也这样配置是不允许的。因为这个可能会导致安全性问题和攻击。简单来说,出现这个问题

Junzizhiai / 0评论 2020-10-10

如何使用 Apache Directory Studio 连接 JumpCloud

JumpCloud 是一个基于云的 LDAP 服务。如果你的项目小组成员在 10 个或者 10 个以下的话,你可以免费使用 JumpCloud 服务器。这篇文章假设的是你已经设置好了 JumpCloud 的云服务,并且已经注册了 JumpCloud 的管理

bxqybxqy / 0评论 2020-09-30

初学者和专业技术人员使用的十大机器学习软件

现在,让我们详细讨论每个机器学习软件。Tensorflow是机器学习的免费开源工具。这些应用程序在高级C ++中执行。它用于图像识别,手写分类,递归神经网络等。Tensorflow可以在CPU和GPU上平稳运行。它提供了良好的库来防止长时间编码。它是全球

风之沙城 / 0评论 2020-09-24

每个Java开发人员都应该知道的10大Github仓库

Java是业务应用程序开发中排名第一的编程语言,它也是顶级编程语言之一。Java具有许多功能强大且丰富的仓库,尽管标准Java库功能强大,但是在专业软件开发领域你还需要其他Java库。它在业界广泛使用,如果你正在从事一个大型项目,并且没有使用任何Apach

kingszelda / 0评论 2020-09-22

漫话:应用程序被拖慢?罪魁祸首竟然是Log4j!

之前一段时间,为我们发现的一个SaaS应用程序会间歇性地卡顿、变慢,因为很长时间都没有定位到原因,所以解决的办法就只能是重启。这个现象和之前我们遇到的程序变得卡顿不太一样,因为我们发现这个应用程序不仅在高流量期间时会变慢,有时在低流量时期也会变慢。所以这令

大唐帝国前营 / 0评论 2020-08-18

JSP动态网页开发原理详解

  JSP全称是Java Server Pages,它和servle技术一样,都是SUN公司定义的一种用于开发动态web资源的技术。  JSP这门技术的最大的特点在于,写jsp就像在写html,但它相比html而言,html只能为用户提供静态数据,而Jsp

yixu0 / 0评论 2020-08-17

centos8使用Apache httpd2.4.37安装web服务器的步骤详解

第四步:firewall-cmd --zone=public --add-port=80/tcp --permanent  #开启防火墙的80端口,并永久生效,返回success 设置成功的意思。第六步:firewall-cmd --zone=public

TangCuYu / 0评论 2020-08-15

Tomcat启动springboot项目war包报错:启动子级时出错的问题

今天公司springboot项目准备部署到测试服务器上进行测试,打包好war后放到tomcat里面启动后,前端文件能访问到,但是接口请求一直是404,一直找了很久的原因,tomcat启动是成功的,war打包的时候也提示build success了,tomc

xiaoboliu00 / 0评论 2020-08-15

如何通过Apache在本地配置多个虚拟主机

如何使用 Apache 在本地配置出多个虚拟主机呢?而且使用不同的“域名”来访问本地不同的站点呢?1,根目录中有一个 phpMyAdmin/ 的文件夹,它是一个网页版的数据库管理系统(肯定不会陌生的吧!),我想通过访问一个简单的:. 来进入这个系统;这样,

songshijiazuaa / 0评论 2020-08-15

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl / 0评论 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf / 0评论 2020-08-03

Apache DolphinScheduler 诞生记

DolphinScheduler,简称”DS”, 中文名 “小海豚调度”。希望 DolphinScheduler 就像它的名字一样,成为一个“开箱即用”的灵活易用的调度系统。DAG 全称Directed Acyclic Graph,简称DAG。工作流中的T

newfarhui / 0评论 2020-08-03

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour / 0评论 2020-08-01

Web容器Web服务器及常见的Web容器有哪些?

  首先来理解一下简单的一个请求发送到响应的过程。而我们的服务器通常要分为两个部分,一部分是服务器硬件,有了硬件之后还有有硬件上对应运行的软件。其次,服务器的硬件部分接收到了这一段请求,将其递交给对应的进程,服务器软件。此时这个服务器软件即为Web服务器,

lantingyue / 0评论 2020-07-30

Apache Solr velocity模板注入RCE漏洞

lionelf / 0评论 2020-07-28

Apache Kafka 架构和相关概念

缓冲上下游瞬时突发流量,使其更平滑.特别是对于那种发送能力很强的上游系统,如果没有消息引擎的保护,“脆弱”的下游系统可能会直接被压垮导致全链路服务“雪崩”。使发送方与接收方松耦合,仅以协议的方式进行通讯,简化了开发.也叫消息队列,每个消息只能被一个下游的消

sweetgirl0 / 0评论 2020-07-27

apache window 上的安装

37行: ServerRoot "apache目录" . 218行:ServerName服务器名称注意去掉# . 根据自己的情况进行相应的修改。名称前的小太阳标志表示已启动成功,注意,此时一定要是使用Administrator管理员用户

loveyy / 0评论 2020-07-27

消费消息+手动提交+同步异步

package com.perfect.kafka;import java.util.Arrays;Properties props = new Properties();KafkaConsumer<String,String> c = new

hanwentan / 0评论 2020-07-21

编译安装apache添加开机自启动

[ /]# cat /etc/redhat-release CentOS Linux release 7.4.1708 [ /]# uname -r3.10.0-693.el7.x86_64. [ ~]# chkconfig --add httpdser

hanwentan / 0评论 2020-07-19

cassandra安装

CREATE USER automng WITH PASSWORD ‘Automng_123‘ SUPERUSER ;这里使用的是公有云,首先要开放其9042端口,然后修改几个IP地址,修改为内网IP即可,不需要填写公网IP. This option is

zhangxiaocc / 0评论 2020-07-18

什么是Apache SkyWalking?

SkyWalking:一个APM系统,专门为微服务,云原生和基于容器的体系结构而设计。SkyWalking是一个开源APM系统,包括对Cloud Native体系结构中的分布式系统的监视,跟踪,诊断功能。在运行时分析代码。数据库访问指标。支持混合器遥测。建

登峰小蚁 / 0评论 2020-07-18

Mybatis中使用Log4j日志实现(前提创建的是Maven项目)

Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件。通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。#将等级为

MrLiar / 0评论 2020-07-07

Linux之Apache服务

Apache HTTPD Server 简称 Apache,是 Apache 软件基金会的一个开源的网页服务器, 可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一。各个功能使用模块化进行插拔!目前支持

loveyy / 0评论 2020-07-05

MAC OS 10.15 Lucene 源码分析环境搭建

lucene-solr 的github 项目中的 README 其实已经讲得很清楚了,但搭一个大项目的环境还是耗时耗力的。如果出现下载失败的问题,不用担心,重试就好。3,安装ant,我这里安装的是:Apache Ant version 1.10.8 com

Jacry / 0评论 2020-07-04

Java架构-Apache POI Excel

相信在项目中,对数据进行动态导出这是一个比较常见的功能。对于数据导出我们可以使用Apache-POI这个框架来帮我来进行Excel的写入与读取。下面就用代码来实现Apache POI写入与读取excel文件。HSSF 为前缀的类名表示操作的是Microso

chenjia00 / 0评论 2020-07-04

zookeeper实现服务器动态上下线动态感知

主要思路是利用zookeeper监听节点和它可以创建临时节点的特点* 客户端:   * 监听父节点* 服务端:   * 启动时向父节点下生成临时子节点,并在子节点里面写入服务器数据信息。若要每次对应节点发生增减变化都被监测到,那么每次都得先调用getChi

leodengzx / 0评论 2020-07-04

CENTOS APACHE HTTPD 开启HTTPS

  HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。谷歌已经制定了一项长远的计划,它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全”,对于站长来说,部署SSL证书来迁移到HTTPS是一个现实和重要的问题,那么,对于Apache系

LzHeng / 0评论 2020-07-04

Apache配置文件httpd.conf/htaccess中deny和allow的使用

Allow和Deny哟关于apache的conf文件或者htaccess文件中,用来控制目录和文件的访问授权。注意 deny和allow之间有一个逗号,不是空格,且只能有一个逗号,大小写不限。当看到apache的配置时可以从一下角度来理解,一默认,二顺序,

strburnchang / 0评论 2020-07-04

源码编译 apache2.4

ApacheHTTPServer是Apache软件基金会的一个开放源码的网页服务器软件,可以在大多数电脑操作系统中运行。由于其跨平台和安全性,被广泛使用,是最流行的Web服务器软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释

zhangxiaocc / 0评论 2020-06-28

使用Apache Hudi构建大规模、事务性数据湖

一个近期由Hudi PMC & Uber Senior Engineering Manager Nishith Agarwal分享的Talk. 关于Nishith Agarwal更详细的介绍,主要从事数据方面的工作,包括摄取标准化,数据湖原语等。数

xx0cw / 0评论 2020-06-27

Tomcat源码Idea maven启动

一、下载tomcat源码。二、建立pom. <?xml version="1.0" encoding="UTF-8"?>. <modelVersion>4.0.0</modelVersi

chenjia00 / 0评论 2020-06-25

CVE 2020 1938

  cve-2020-1938是一个出现在Apache-Tomcat-Aip的文件包含漏洞,攻击者可以利用该漏洞读取包含Tomcat上所有的webapp目录下的任意文件写入:webapp配置文件或源代码。  由于Tomcat默认开启的AJP服务存在一处文件

yixiaoqi00 / 0评论 2020-06-25

Apache Hudi:云数据湖解决方案

开源Apache Hudi项目为Uber等大型组织提供流处理能力,每天可处理数据湖上的数十亿条记录。随着世界各地的组织采用该技术,Apache开源数据湖项目已经日渐成熟。Apache Hudi是一个数据湖项目,可在与Apache Hadoop兼容的云存储系

itmale / 0评论 2020-06-21

CVE-2019-0232漏洞复现

2019年4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞,由于JRE将命令行参数传递给Windows的方式存在错误,会导致CGI Servlet受到远程执行代码的攻击。解压配置tomcat,运行startup.bat,如果这里

strburnchang / 0评论 2020-06-21

怎么在CentOS 8上安装启用Apache服务器

首先确保防火墙在CentOS 8实例上正确运行。启用Apache服务,并使其在系统启动时启动。还可以检查Web服务器的版本,以确保已正确安装。也可以使用curl 127.0.0.1:80进行测试。默认情况下,CentOS使用firewalld作为守护程序运

itmale / 0评论 2020-06-16

tomcat 乱码

解决办法 在C:\tomcat\apache-tomcat-8.5.56\conf 目录下找到logging.properties 文件用编辑器打开,本例子是使用“Notepad++”编辑器打开。

zhangxiaocc / 0评论 2020-06-16

log4j使用

综合使用这三个组件可以轻松地记录信息的类型和级别,并可以在运行时控制日志输出的样式和位置。log4j.appender.appenderName.OptionN = valueN3、Layouts有时用户希望根据自己的喜好格式化自己的日志输出,Log4j可

丨Fanny丨Cri / 0评论 2020-06-13

爬虫中的连接池

在前面的内容中已经可以深刻的体会到,不管是post请求还是get请求,每次都要创建HttpClient,会出现频繁的创建和销毁问题。=null){ try { response.close

xclxcl / 0评论 2020-06-13

Apache Spark有哪些局限性

Apache Spark是行业中流行和广泛使用的大数据工具之一。Apache Spark已成为业界的热门话题,并且如今非常流行。但工业正在转移朝向apache flink。Apache Spark是为快速计算而设计的开源,闪电般快速的集群计算框架。Apac

sxyhetao / 0评论 2020-06-12

RocketMQ

然后执行‘start mqnamesrv.cmd’,启动NAMESERVER。成功后会弹出提示框,此框勿关闭。#set it false if you don‘t want use dashboard.default true. #set the mess

陈晨软件五千言 / 0评论 2020-06-11

zooKeeper实现分布式锁

利用zooKeeper的节点写入之后不能再次写入的特点做分布式锁,也可以利用有序节点,然后判断当前的节点是否是最后一个节点,目前我所知道的就这两种,如果你有更好的,希望你能在下方评论里打出,或者给我一个连接

iamdll / 0评论 2020-06-11

使用经 EMRFS S3 优化的提交器提高 Apache Spark 写入 Apache Parquet 格式文件的性能

使用经 EMRFS S3 优化的提交器提高 Apache Spark 写入 Apache Parquet 格式文件的性能。经 EMRFS S3 优化的提交程序是一款新的输出提交程序,可用于Amazon EMR5.19.0 及更高版本的Apache Spar

hovermenu / 0评论 2020-06-10

Apache Zeppelin UI

Apache Zeppelin 0.7.0 Documentation: Generic JDBC Interpreter for Apache Zeppelinhttps://zeppelin.apache.org/docs/0.7.0/interpre

登峰小蚁 / 0评论 2020-06-10

linux:lamp环境

先装php,因为安装php有apache的依赖包。启动成功,但有一个警告:无法确定主机的FQDN. 在文件中搜索 ServerName,去掉前面的注释,保存退出:。默认的Apache站点目录:/var/www/html/

wys / 0评论 2020-06-10