客户扫描到zookeeper有CVE-2022-2048和CVE-2021-28169安全漏洞要求修复。
漏洞和官方解决办法如下:
一、# CVE-2022-2048 Jetty升级到这几个修复版本9.4.47. 10.0.10, 11.0.10
Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 HTTP/2 请求可能占用连接导致拒绝服务,以下产品和版本受到影响:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。
解决办法: Jetty升级到这几个修复版本9.4.47. 10.0.10, 11.0.10
https://github.com/eclipse/jetty.project/security/advisories/GHSA-wgmr-mf83-7x4j
https://github.com/eclipse/jetty.project/pull/7978/commits/af828e7d4937ea20a4b896f4ad77fc3edd7ff2c4
二、# CVE-2021-28169 Jetty升级到这几个版本9.4.41, 10.0.3 and 11.0.3
Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞。攻击者可利用该漏洞导致有关We应用程序实现的敏感信息泄露。
https://github.com/eclipse/jetty.project/security/advisories/GHSA-gwcr-j4wh-j3cq
三、总之升级到jetty 9.4.47可以修复这两个安全漏洞
jetty 9.4.47下载地址: https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
https://download.csdn.net/download/shy_snow/87269854
替换zookeeper的lib目录下的7个jetty为9.4.47版本jar包后重启zookeeper,即可。