乐鱼体育-乐鱼体育app下载

新闻资讯
首页 > 新闻中心

ApacheAmbari随意压缩文件下载系统漏洞:乐鱼体育app下载

2021-04-29
本文摘要:乐鱼体育,乐鱼体育app下载,近日,Apache官方网公告了一个ApacheAmbari的随意压缩文件下载系统漏洞。AmbariAuthorizationFilter中应用了“StringrequestURI=httpRequest

下载文件

近日,Apache官方网公告了一个ApacheAmbari的随意压缩文件下载系统漏洞。Ambari的身份验证控制模块存有设计方案缺点,故意客户能够绕开身份认证,根据结构文件夹名称以开展文件目录解析xml和下载文件。..AmbariAuthorizationFilter中应用了“StringrequestURI=httpRequest.getRequestURI;“造成。OverridepublicvoiddoFilterServletRequestrequest,ServletResponseresponse,FilterChainchainthrowsIOException,ServletException{HttpServletRequesthttpRequest=HttpServletRequestrequest;HttpServletResponsehttpResponse=HttpServletResponseresponse;StringrequestURI=httpRequest.getRequestURI;SecurityContextcontext=getSecurityContext;Authenticationauthentication=context.getAuthentication;AuditEventauditEvent=null;....}当Web服务端解决像浏览“/everyone-has-permission-path/..;/admin-has-permission-path”那样的路径时,将返回資源“admin-has-permission-path”,可是过滤装置中的“httpRequest.getRequestURI”将返回路径“/everyone-has-permission-path/..;/admin-has-permission-path”,因而下边的编码将造成 根据配对的批准:OverridepublicvoiddoFilterServletRequestrequest,ServletResponseresponse,FilterChainchainthrowsIOException,ServletException{...ifauthentication==null||authenticationinstanceofAnonymousAuthenticationToken{...}ifauthentication==null||authenticationinstanceofAnonymousAuthenticationToken||!authentication.isAuthenticated{...}elseif!authorizationPerformedInternallyrequestURI{booleanauthorized=false;ifrequestURI.matchesAPI_BOOTSTRAP_PATTERN_ALL{authorized=AuthorizationHelper.isAuthorizedauthentication,ResourceType.CLUSTER,null,EnumSet.ofRoleAuthorization.HOST_ADD_DELETE_HOSTS;}else{...}...}...}据了解,.2及更早版本,升級到更高版本可处理此难题。

详尽內容能够查询Apache公告。


本文关键词:下载文件,路径,公告,內容,乐鱼体育app下载

本文来源:乐鱼体育-www.qsleddisplay.com



下一篇:zyplayer-doc新项目后端开发应用spring-乐鱼体育app下载