Nexus 仓库管理软件3.45.0版本升级3.68.1版本修复任意文件下载高危漏洞

原创 已于 2025-09-13 23:23:24 修改 · 691 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #网络安全

于 2025-09-13 22:32:21 首次发布

记录一次 nexus 版本升级 修复任意文件下载漏洞

前提说明,当前生产环境nexus版本为3.45.0 存在任意文件下载攻击如下连接可自测

http://xxx.xxx.xxx.xxx:8081/%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd

根据防护说明将nexus升级到3.68.1即可规避高危漏洞风险

  1. 备份nexus目录文件

tar -czvf nexus_backup_20250912.tar.gz   /home/docker-compose/nexus3/nexus-data

  1. 测试环境部署 nexus3.45.0 (现在测试环境模拟当前生成环境)

docker pull sonatype/nexus3:3.45.0   拉取相同版本镜像

  1. 恢复备份数据

tar -xvf nexus_backup_20250912.tar.gz -C /home

  1. 启动容器

[root@localhost nexus-data]# docker run -d --name nexus3  \

-v /home/docker-compose/nexus3/nexus-data:/nexus-data  \

-p 8081:8081 \

 sonatype/nexus3:3.45.0

提示以下操作即成功

docker logs -f nexus3   #根据该命令看容器服务启动状态,预计1-2分钟启动

补充说明:

docker ps -a  查看是否已存在

docker rm -f nexus3   移除后重新操作

  1. 升级操作

[root@localhost home]# docker stop nexus3

[root@localhost home]# docker pull sonatype/nexus3:3.68.1

[root@localhost home]# docker run -d --name nexus3_upgrade \

> -v /home/docker-compose/nexus3/nexus-data:/nexus-data \

> -p 8081:8081 \

> sonatype/nexus3:3.68.1

  1. 升级后验证

漏洞验证

  1. 扩展内容,在执行第4步和第5步经常会报错,会出现启动容器失败,网络问题或者其他因素(1)网络问题,请先修改vim /etc/docker/daemon.json

{

  "registry-mirrors": [

    "https://docker.m.daocloud.io",

    "https://docker.nju.edu.cn",

    "https://hub-mirror.c.163.com",

    "https://registry.docker-cn.com"

  ]

}

关闭防火墙、selinux配置为关闭状态

修改vim /etc/resolv.conf  

nmeserver 8.8.8.8 

nmeserver 8.8.4.4

(2)其他问题,可使用

docker ps -a  查看是否已存在 比如nexues3 实列

docker rm -f nexus3   移除后重新进行第2步和第4步操作。

qq_34981755
关注
解决Nexus 3.XX Jdk版本问题(亲测有效)
向小凯同学学习
04-03 6551
解决Nexus 3.XX Jdk版本问题 Nexus 3++版本 必须要Jdk1.8 一、在启动Nexus 3++版本的时候抛错 ubuntu@10-9-17-59:~/Develop/Nexus/nexus-3.15.2-01/bin$ ./nexus start No suitable Java Virtual Machine could be found on your system. Th...
nexus2.5版本升级nexus2.14(同时升级到nexus3.24版本)版本
madman
06-22 1883
nexus2.5版本升级nexus2.14版本版本升级
Nexus 3.45.0-01 Windows版本下载
gitblog_06708的博客
04-12 297
Nexus 3.45.0-01 Windows版本下载下载地址】Nexus3.45.0-01Windows版本下载 探索高效项目管理的新境界,Nexus 3.45.0-01 Windows版本现已开放下载。作为Maven私服的稳定版本,它专为Windows用户设计,助您轻松管理项目依赖包和插件,显著提升构建效率与稳定...
nexus-3.28.1-01升级到nexus-3.38.0-01
weixin_44919041的博客
03-28 8331
1.升级缘由(腾讯云安全漏洞扫描) 因为nexus3.28存在一下几个漏洞,均为高危漏洞 1.XStream < 1.4.18 多个远程代码执行漏洞 (CVE-2021-39139等) 2.XStream 多个高危风险 (CVE-2021-21341等) 3.Apache Shiro 身份验证绕过漏洞 (CVE-2021-41303) 4.Apache Shiro 权限绕过漏洞 (CVE-2020-17523) 2.升级过程 1. 如果没有安装nexus-3.28.1-01可以直接安装n
Nexus Repository 3 存在文件读取漏洞
wan___she__pi的博客
06-03 510
Nexus Repository(Nexus 仓库)是由Sonatype开发的一款受欢迎的软件仓库管理器。它用于存储和管理软件开发中的二进制组件,例如库、框架和插件。Nexus Repository支持多种仓库格式,包括Maven、npm、Docker、NuGet等。
Nexus版本升级3.1.7解决3.0.2版本漏洞
码农书生
07-05 3884
一、背景 未经身份验证的攻击者可以在服务器上注入和执行可能影响机密性,完整性和可用性的代码。Sonatype已经意识到僵尸网络利用了之前宣布的安全漏洞,并建议立即升级受影响的NXRM 3.x实例。(NXRM 2.x实例不受影响)。 二、方案概述 受影响的版本Nexus Repository Manager 3.x OSS / Pro版本,包括3.14.0修复版本Nexus Repos...
Nexus 3.68 Java8 Windows版本 Maven 私服搭建资源
gitblog_06744的博客
04-12 378
Nexus 3.68 Java8 Windows版本 Maven 私服搭建资源 去发现同类优质开源项目:https://gitcode.com/ 您好!此仓库提供的是Nexus 3.68版本,适用于Java8运行环境的Windows平台Maven私服搭建的资源文件。Nexus是一个强大的仓库管理工具,它支持多种类型的仓库配置,包括Maven、Docker、npm、yum和apt等。通过使用Nexu...
Sonatype Nexus Repository 3目录穿越-文件下载漏洞-CVE-2024-4956
渗透安全Sec
05-24 1173
Sonatype Nexus Repository 3目录穿越-文件下载漏洞-CVE-2024-4956
Maven私服仓库管理之Nexus 3.x
siyongkai的博客
12-21 7027
Nexus是一个强大的仓库管理器,极大地简化了内部仓库的维护和外部仓库的访问。 2016年4月6日Nexus 3.0版本发布,相较2.x版本有了很大的改变: 对低层代码进行了大规模重构,提升性能,增加可扩展性以及改善用户体验。 升级界面,极大的简化了用户界面的操作和管理。 提供新的安装包,让部署更加简单。 增加对Docker, NeGet, npm, Bower的
Sonatype Nexus Repository Manager 3.+版本 上传aar、jar
ffengz的博客
11-04 2802
引 Android做组件化,项目aar包需要上传到Maven仓库,项目之间还存在互相依赖的情况。网上找了很多:通过AS直接配置gradle,直接在build上传,不适用互相依赖的情况,或许是还有其他的配置;直接通过Sonatype Nexus上传,也有问题,几乎都是2.+版本的搜索结果,界面的改动相当大,所以做个简单的笔记。 正 1.直接上传单个文件 进入某个仓库,点击upload component进入上传页面: 上传成功后文件的目录结构大致如下: 2通过pom文件上传 我这里是为了
nexus3.45.1版本windows安装包
01-20
提供给Windows操作系统的安装包,意味着该软件需要在Windows环境下运行,用户下载该安装包后,通过执行安装程序,便可以完成Nexus仓库管理软件在Windows系统上的安装与配置。 4. 安装流程 安装Nexus 3.45.1版本...
nexus-3.45.0-01-win64
12-29
在Windows环境下,通过下载和解压“nexus-3.45.0-01-win64”压缩包,可以快速搭建起一个本地的Nexus服务器,实现对内部和外部组件的统一管理。同时,通过对“sonatype-work”和“nexus-3.45.0-01”目录的理解,有助...
nexus-3.39.0-01 安装包下载(包含Linux 与Win版本
06-21
Nexus 是 Sonatype 公司发布的一款仓库(Repository)管理软件,常用来搭建 Maven 私服,所以也有人将 Nexus 称为“Maven仓库管理器”。 压缩包内包含 Linux 版 与 win 版; Linux:nexus-3.39.0-01-unix.tar.gz ...
nexus-3.53.0-01版本安装包
06-15
Nexus是Sonatype公司开发的一款开源的仓库管理器,它在IT行业中被广泛...以上就是关于Nexus 3.53.0-01版本安装包的相关知识点,通过理解这些,你将能够顺利地在Unix/Linux环境中部署和管理这款强大的软件仓库管理工具。
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
东城绝神
09-12 587
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
docke笔记下篇
最新发布
二月鸟
09-13 590
搜索镜像拉取镜像查看镜像启动镜像 - 服务端口映射停止容器移除容器从应用软件的角度来看,Dockerfile、Docker镜像与Docker容器分别代表软件的三个不同阶段,● Dockerfile是软件的原材料● Docker镜像是软件的交付品● Docker容器则可以认为是软件镜像的运行态,也即依照镜像运行的容器实例Dockerfile面向开发,Docker镜像成为交付标准,Docker容器则涉及部署与运维,三者缺一不可,合力充当Docker体系的基石。
LVS负载均衡群集与Keepalived高可用
m0_46460826的博客
09-11 736
在当今的互联网时代,随着业务的快速发展,用户访问量呈现爆炸式增长。为了应对这种高并发的访问需求,确保网站或应用的稳定性、可靠性和高性能,负载均衡技术应运而生。负载均衡(Load Balancing)是一种将网络流量或计算任务分配到多个服务器上的技术,旨在优化资源利用、最大化吞吐量、最小化响应时间,并避免任何单一资源的过载。在众多负载均衡解决方案中,LVS(Linux Virtual Server)和Keepalived凭借其高性能、高可用性和灵活性,成为了企业级应用中的热门选择。
详细的vmware虚拟机安装教程
dhyuan_88的博客
09-09 967
开机:在 Player 主界面选中虚拟机,点击“播放虚拟机”。关机:在虚拟机的操作系统内部,像普通电脑一样点击“开始”->“电源”->“关机”。不要直接点击窗口上的叉号,那相当于强制断电。暂停:点击“暂停”按钮可以快速暂停/恢复虚拟机状态。全屏模式:按可以进入/退出全屏。释放鼠标:在虚拟机内操作后,鼠标会被“捕获”,按Ctrl + Alt可以将鼠标释放回物理机。
RocketMQ 高可用集群原理深度解析与性能优化实践指南
qq_35716689的博客
09-13 559
本文深入解析 RocketMQ 高可用集群的原理,探讨主备选举、消息存储与路由流程,并结合真实业务场景提供性能优化实践建议和丰富的代码示例,帮助开发者构建高效稳定的消息系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值