tomcat有安全漏洞,現在用的版本是tomcat8.5.3。
其中有一個漏洞描述是這樣子的:Apache Tomcat Security Manager 安全限制繞過漏洞(CVE-2016-5018)(其它的可以參照這個解決)
綠盟給的建議是:
有兩個解決方案,一是直接升級到高版本或是打漏洞補丁。之前打過補丁但後來發現方法是錯的,最後是以升級到高版本解決問題的。
升級到高版本的方法,找到對應版本的下載頁面,我的是tomcat8,所以打開https://tomcat.apache.org/security-8.html,搜索到相應的漏洞編號,可以看到這個漏洞在8.5.5和8.0.37就已經被修復了。
然後你可以查下現在8的最高版本是多少,下載安裝即可,問題解決。
附補丁修復的方法(例子中的這個補丁,很多人反映現在下載不了,可能是現在科學上網比較難吧。。):
由於部分應用不支持tomcat9,所以最後決定用打補丁的方式。
漏洞編號裏有對應的補丁編號:
找到對應的補丁下載地址,但點進去卻是這個樣子的。。。
好吧,被牆了。。。
費了一翻周折,最後還是讓我打開面頁,
裏面是修改的類及修改的日誌文件,由於tomcat沒有提供編譯好的class文件,我只能按着網上其它人的方法,看他修改了哪着類,然後自己用eclipse將這個類編譯出來,再放入對應的jar包裏,最後將 jar包其更新到要打補丁的tomcat上。
參考文章:http://blog.51cto.com/lysweb/752743