同事又反馈生产上又扫描出Eclipse Jetty 安全漏洞(CVE-2022-2048) ,还是由于生产上安装的zookeeper3.6.1版本中的Jetty漏洞
Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 HTTP/2 请求可能占用连接导致拒绝服务,以下产品和版本受到影响:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。解决办法: Jetty升级到这几个修复版本9.4.47. 10.0.10, 11.0.10
github地址:https://github.com/eclipse/jetty.project/security/advisories/GHSA-wgmr-mf83-7x4j
解决方法如下:
下载jetty 9.4.47替换zookeeper3.6.1中的lib中的jetty-*的jar包
地址:https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
下载完后 将原有的jar包
替换成以下包:
然后重启zookeeper。
