jboss作为一个老古董,有些服务是已经部署了十年以上,后来漏洞不断出现,就要不断升级修复漏洞
jboss在4.0.5版本之前,会引入tomcat组件jbossWeb-tomcatxx.sar。但是在4.0.5之后,换成了jboss-web.deployer。
特别想吐槽的是,jboss4/5/6/7各版本之间差别很大,boss开发人员完全不考虑外场应用的部署情况,各版本jboss之间无法直接替换升级。jboss7之后的版本,改名叫wildfly。
当出现tomcat的安全漏洞的时候,如果不想直接升级jboss版本,可以考虑只升级jbossweb-tomcat55.sar.
安全漏洞如:
Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)
服务器支持SSL Insecure Renegotiation(CVE-2009-3555)
服务器支持TLS Client-initiated 重协商攻击(CVE-2011-1473)
升级方案:
使用tomcat5.5.36(也可以使用其他更高版本的tomcat)中的jar替换升级,jboss中特有的jar不升级
我也制作了一个升级包,上传上去了,有需要的可以去下载(ps:积分不知道怎么改不了,系统自动给我定了5分,等审核通过我就分享链接出来)。