一文看懂！CVE-2023-44487漏洞与jetty升级全攻略(图文)

一、CVE-2023-44487 漏洞来袭

2023 年，安全领域出现了一个备受瞩目的漏洞 ——CVE-2023-44487 ，它就像一颗投入平静湖面的石子，在互联网的各个角落激起了层层涟漪。这个漏洞可不简单，它是 HTTP/2 协议的拒绝服务漏洞，从被发现的那一刻起，就引起了广大开发者和安全人员的高度关注。
HTTP/2 协议作为 HTTP/1.1 的升级版本，采用了二进制协议，引入了头部压缩、服务器推送和流优先级等新特性，大大提升了网页加载速度和性能 ，广泛应用于各种网络服务中。然而，CVE-2023-44487 的出现，却让 HTTP/2 协议的安全性受到了严峻挑战。
攻击者利用这个漏洞，通过巧妙地使用 HEADERS 和 RST_STREAM 帧发送大量 HTTP 请求，就能对 HTTP/2 服务器发起分布式拒绝服务（DDoS）攻击。他们不断重复这个模式，在目标服务器上生成大量流量。想象一下，服务器就像一个繁忙的接待员，原本可以有条不紊地处理正常的请求。但现在，攻击者通过在单个连接中打包多个 HEADERS 和 RST_STREAM 帧，让每秒请求量像火箭一样飙升，使得服务器被这些恶意请求淹没。服务器忙于处理这些大量的无效请求，资源被迅速耗尽，最终导致正常的服务无法提供，就像接待员被大量无理取闹的访客缠住，无法接待真正有需求的客人一样。
这个漏洞的影响范围极其广泛，凡是使用 HTTP/2 协议组件的系统都有可能受到攻击。在众多受影响的组件中，低版本的 jetty 受到的影响尤为突出。许多基于 jetty 构建的应用程序，因为使用了存在漏洞的低版本 jetty，面临着巨大的安全风险。如果这些应用程序暴露在公网上，就如同在黑客面前敞开了大门，随时可能遭受攻击，导致服务中断、数据泄露等严重后果 。

二、jetty 中招，影响几何？

在 CVE-2023-44487 这个大麻烦里，jetty 受影响的版本范围相当明确。如果你用的 jetty 版本小于 12.0.2、10.0.17、11.0.17 ，或者是低于 9.4.53.v20231009，那就得格外小心了，因为这些版本存在漏洞，很容易被攻击者盯上 。
实际场景里，因为 jetty 版本低被漏洞威胁的例子还真不少。比如，有一家小型电商网站，他们一直使用的 jetty 版本是 9.4.50 ，这个版本不幸中招。有一天，网站突然遭遇了一次严重的 DDoS 攻击，页面根本无法正常加载，商品展示、下单支付等功能全部瘫痪。用户们纷纷反馈，在购物高峰期，网站就像 “消失” 了一样，什么操作都做不了。这次攻击持续了好几个小时，导致该电商网站损失了大量订单，销售额大幅下降，还引发了用户的信任危机，不少用户因为体验太差，转头去了竞争对手的平台。
还有一家在线教育平台，使用的 jetty 版本为 10.0.15 ，也没能逃过此次漏洞的影响。黑客利用漏洞发起攻击，导致服务器资源被耗尽，在线课程直播中断，学生们被迫中断学习，老师也无法正常授课。平台的技术人员紧急排查后发现，正是 jetty 的低版本问题，让黑客有机可乘。这次事件不仅影响了学生的学习进度，也让平台的口碑受到了极大的损害，许多家长对平台的安全性产生了质疑。
从这些案例就能看出，CVE-2023-44487 漏洞对业务的影响十分严重。一旦服务器瘫痪，业务中断，企业的收入来源就会被切断，像电商网站的订单无法处理，在线教育平台的课程无法正常进行，直接造成经济损失。同时，数据泄露的风险也不容忽视，如果攻击者成功入侵服务器，用户的个人信息、交易记录等敏感数据都有可能被泄露，这对企业的声誉和用户的隐私保护都是巨大的打击 。

三、升级 jetty，刻不容缓！

面对 CVE-2023-44487 这个来势汹汹的漏洞，升级 jetty 到安全版本无疑是修复漏洞的根本方法。安全版本的 jetty 就像是给系统穿上了一层坚固的铠甲，能够抵御攻击者的恶意攻击。
需要升级到的 jetty 安全版本号为：12.0.2 及以上版本、10.0.17 及以上版本、11.0.17 及以上版本 ，还有 9.4.53.v20231009 及以上版本 。这些版本对 HTTP/2 协议的处理进行了优化，修复了存在的漏洞，大大提升了系统的安全性 。
从安全性角度来看，升级后的 jetty 抗攻击能力显著提升。在低版本 jetty 中，攻击者利用漏洞可以轻易发起 DDoS 攻击，导致服务器瘫痪。而升级到安全版本后，服务器能够有效识别和抵御这些恶意攻击。比如，安全版本的 jetty 增强了对 HTTP 请求的验证机制，能够快速检测出恶意的 HEADERS 和 RST_STREAM 帧，阻止攻击流量进入服务器，保障服务器的正常运行。
在性能表现方面，升级后的 jetty 也有出色的表现。以 HTTP/2 协议处理效率为例，在处理大量并发请求时，低版本 jetty 可能会因为资源分配不合理，导致请求处理速度变慢，出现延迟甚至超时的情况。而升级后的 jetty 优化了线程池管理和资源分配机制，能够更高效地处理并发请求。在一个高并发的电商网站场景中，升级后的 jetty 可以将 HTTP/2 协议请求的平均响应时间缩短 20% 左右 ，大大提升了用户体验，同时也提高了网站的吞吐量，能够支持更多用户同时访问 。

四、升级实战，步步为营

（一）前期准备

在开始升级 jetty 之前，有一些重要的前期准备工作绝对不能忽视。首先，一定要对服务器上的重要数据进行全面备份。这些数据可是业务的核心，像用户信息、交易记录、业务文档等 ，一旦在升级过程中出现意外，有了备份就能迅速恢复，避免数据丢失带来的巨大损失。同时，也要备份 jetty 相关的配置文件，比如 jetty.xml、start.ini 等 ，这些配置文件记录了 jetty 的各种参数设置，备份它们可以保证在升级后能够快速恢复到原来的配置状态，减少重新配置的工作量。
接下来，需要仔细确认服务器的运行环境。Java 版本就是一个关键因素，因为不同版本的 jetty 对 Java 版本有不同的要求。比如，某些较新的 jetty 版本可能需要 Java 11 及以上版本才能正常运行，如果服务器上的 Java 版本过低，就需要先进行 Java 版本的升级，以确保与 jetty 新版本适配。你可以通过在命令行中输入 “java -version” 来查看当前 Java 版本。
还得准备好下载 jetty 安装包的渠道和工具。一般来说，jetty 官方网站是最可靠的下载来源，你可以在浏览器中直接访问 jetty 的官方网址，在下载页面找到适合你服务器环境和需求的版本。为了确保下载过程的顺利，建议提前安装好常用的下载工具，如 wget（在 Linux 系统中）或浏览器自带的下载功能 。

（二）下载与替换

一切准备就绪后，就可以开始下载 jetty 的新版本安装包了。前往 jetty 官方网站，在下载页面中，会看到各种版本的 jetty 供你选择。这时候，要根据服务器的操作系统类型（是 Windows、Linux 还是 macOS）、硬件架构（32 位还是 64 位）以及业务需求来挑选合适的版本。比如，如果你的服务器是 64 位的 Linux 系统，那就选择对应的 64 位 Linux 版 jetty 安装包。
下载完成后，就进入到替换服务器中旧 jetty 文件的环节。首先，要停止正在运行的 jetty 服务，这一步很关键，不然在替换文件时可能会出现文件被占用无法替换，或者导致数据丢失、服务异常等问题。在 Linux 系统中，你可以使用 “service jetty stop” 命令来停止 jetty 服务；在 Windows 系统中，可以在服务管理中找到 jetty 服务并停止它。
停止服务后，找到 jetty 的安装目录，通常在 Linux 系统中默认安装目录可能是 “/usr/local/jetty” ，在 Windows 系统中可能是 “C:\Program Files\jetty” 。将下载好的新 jetty 安装包解压，然后把解压后的所有文件覆盖到旧 jetty 的安装目录中，按照提示确认替换操作。在替换过程中，要仔细核对文件名和文件路径，确保所有文件都正确替换，避免出现遗漏或错误替换的情况。

（三）配置调整

升级完 jetty 后，并不是万事大吉了，还需要对 jetty 的配置文件进行检查和可能的调整。配置文件中包含了很多重要的参数设置，如端口号、SSL 证书配置等，这些设置可能需要根据新的 jetty 版本和业务需求进行修改。
以端口配置为例，如果你之前在 jetty 的配置文件中设置了特定的 HTTP 端口，如 8080 ，在升级后需要确认这个端口是否仍然适用。如果端口号与其他服务发生冲突，就需要进行修改。在 jetty 的配置文件（通常是 jetty.xml 或 start.ini）中，找到关于端口配置的参数，比如在 jetty.xml 中，可能会看到类似这样的配置：

<Configure class="org.eclipse.jetty.server.Server">
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ServerConnector">
<Set name="port">8080</Set>
</New>
</Arg>
</Call>
</Configure>
如果需要修改端口号，比如改为 8888 ，就将 “8080” 中的 8080 改为 8888 。
对于使用了 SSL 证书的情况，升级后也要检查 SSL 相关的配置是否正确。在 jetty 中，SSL 证书的配置通常在 ssl.ini 或 jetty-ssl.xml 等文件中。确保证书的路径、密码等信息与实际情况一致。例如，在 ssl.ini 文件中，可能有这样的配置：

jetty.sslContext.keyStorePath = /path/to/keystore.jks
jetty.sslContext.keyStorePassword = password
要确认 “jetty.sslContext.keyStorePath” 指定的证书路径是否正确，以及 “jetty.sslContext.keyStorePassword” 设置的密码是否与证书的实际密码一致。

（四）测试验证

完成 jetty 的升级和配置调整后，最重要的一步就是测试验证，看看 jetty 是否能正常运行，以及 CVE-2023-44487 漏洞是否已经被成功修复。
首先，可以通过访问部署在 jetty 上的网页来进行初步测试。在浏览器中输入网页的 URL，如果能正常加载网页，显示出正确的页面内容，说明 jetty 的基本功能可能是正常的。比如，你的应用是一个简单的网站，访问网站首页能看到熟悉的页面布局、图片、文字等，就表示 jetty 已经能够正常提供网页服务。
为了更全面地测试，还可以专门测试 HTTP/2 功能。你可以使用一些工具，如 Chrome 浏览器的开发者工具，在访问网页时查看网络请求，确认是否使用了 HTTP/2 协议。在 Chrome 浏览器中，打开开发者工具，切换到 “Network” 选项卡，刷新网页，然后查看请求列表中的 “Protocol” 一列，如果显示为 “h2” ，就说明 HTTP/2 功能正常。
检查是否还存在漏洞风险也是至关重要的。虽然升级到了安全版本，但还是要进行一些简单的漏洞检测。可以使用一些安全扫描工具，如 Nessus、OpenVAS 等 ，这些工具能够扫描服务器，检测是否存在已知的漏洞。在使用这些工具时，按照工具的操作指南进行配置，指定要扫描的服务器 IP 地址和端口，然后启动扫描。如果扫描结果显示没有检测到 CVE-2023-44487 漏洞相关的风险，那就说明升级和修复工作可能是成功的。但如果扫描结果仍然提示存在漏洞，就需要仔细检查升级过程和配置是否存在问题，或者是否还有其他相关组件也受到了漏洞的影响，需要进一步排查和修复。

五、升级后运维，持续护航

完成 jetty 的升级并不意味着一劳永逸，升级后的运维工作同样至关重要，它是保障系统长期安全稳定运行的关键。
在升级后的一段时间内，要密切关注服务器的运行状态。通过服务器监控工具，实时查看 CPU、内存、磁盘 I/O 等关键指标。比如，如果发现 CPU 使用率持续过高，可能是 jetty 在处理请求时出现了性能瓶颈，需要进一步分析原因。可以使用 top 命令（在 Linux 系统中）来查看系统资源的使用情况，实时监控 CPU、内存等资源的占用率 。
日志分析也是升级后运维的重要环节。利用日志分析工具，如 Splunk、ELK Stack 等 ，对 jetty 的日志进行深入分析。这些工具能够帮助你快速筛选出关键信息，比如错误日志、异常请求等。通过分析 jetty 日志，可以及时发现潜在的问题。例如，如果在日志中频繁出现 “Connection reset by peer” 这样的错误信息，可能表示有异常的连接行为，需要进一步排查是否存在攻击的迹象 。
定期检查 jetty 版本更新也是必不可少的。软件的发展日新月异，新的安全漏洞和功能改进不断涌现。jetty 官方会持续发布新的版本，以修复已知问题和提升性能。你可以设置定期提醒，比如每月的第一个工作日，检查 jetty 官方网站或相关技术社区，查看是否有新的版本发布。如果有新的安全版本，要及时评估是否需要进行后续升级。在进行后续升级时，同样要遵循前面提到的升级步骤，做好前期准备、备份数据、仔细测试等工作，确保升级过程的顺利进行，进一步提升系统的安全性和稳定性 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御