tomcat有安全漏洞,现在用的版本是tomcat8.5.3。
其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决)
绿盟给的建议是:
有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。
升级到高版本的方法,找到对应版本的下载页面,我的是tomcat8,所以打开https://tomcat.apache.org/security-8.html,搜索到相应的漏洞编号,可以看到这个漏洞在8.5.5和8.0.37就已经被修复了。
然后你可以查下现在8的最高版本是多少,下载安装即可,问题解决。
附补丁修复的方法(本人没成功,慎用):
由于部分应用不支持tomcat9,所以最后决定用打补丁的方式。
漏洞编号里有对应的补丁编号:
找到对应的补丁下载地址,但点进去却是这个样子的。。。
好吧,被墙了。。。
费了一翻周折,最后还是让我打开面页,
里面是修改的类及修改的日志文件,由于tomcat没有提供编译好的class文件,我只能按着网上其它人的方法,看他修改了哪着类,然后自己用eclipse将这个类编译出来,再放入对应的jar包里,最后将 jar包其更新到要打补丁的tomcat上。
参考文章:http://blog.51cto.com/lysweb/752743
