产品安全漏洞说明及方案
01_产品安全漏洞说明及解决方案
02_第三方安全漏洞说明及解决方案

# 011_Terracotta Quartz Scheduler 代码注入漏洞(CVE-2023-39017)说明及解决方案

  • 漏洞说明 Terracotta Quartz Scheduler是一款开源的作业调度框架。

    Terracotta Quartz Scheduler 2.3.2及之前版本存在安全漏洞,该漏洞源于在组件org.quartz.jobs.ee.jms.SendQueueMessageJob.execute中存在代码注入漏洞。

  • 解决方案

    普元全系列产品,只有MetaCube7.0GA及之前版本存在此漏洞。

    MetaCube产品中未使用到quartz-1.8.6.jar中的SendQueueMessageJob类,可以将该类对应的整个job目录删除。

    操作步骤如下:

    1. 停止采集器和DGS,并备份原先的jar。

    2. 删除路径:{Extractor安装目录}/metacube_extractor/libs/3rd/quartz-1.8.6.jar/org/quartz/jobs目录

    删除路径:{MetaCube7安装目录}/apache-tomcat-8.5.42/webapps/dgs/WEB-INF/lib/ quartz-1.8.6.jar/org/quartz/jobs

    1. 重启采集器和DGS。

012_Eclipse Jetty 安全漏洞(CVE-2020-27216)解决方案