该博客讲述了如何处理Apache Tomcat 8.5.3版本的安全漏洞CVE-2016-5018。作者首先尝试打补丁但未成功,最终通过升级到高版本(如8.5.5以上)解决了问题。对于无法升级的情况,提供了手动打补丁的步骤,包括下载源码、修改类文件并重新打包。尽管过程复杂,但通过此方法也能完成漏洞修复。
tomcat有安全漏洞,现在用的版本是tomcat8.5.3。
其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决)
绿盟给的建议是:
有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。
升级到高版本的方法,找到对应版本的下载页面,我的是tomcat8,所以打开https://tomcat.apache.org/security-8.html,搜索到相应的漏洞编号,可以看到这个漏洞在8.5.5和8.0.37就已经被修复了。
然后你可以查下现在8的最高版本是多少,下载安装即可,问题解决。
附补丁修复的方法(例子中的这个补丁,很多人反映现在下载不了,可能是现在科学上网比较难吧。。):
由于部分应用不支持tomcat9,所以最后决定用打补丁的方式。
漏洞编号里有对应的补丁编号:
找到对应的补丁下载地址,但点进去却是这个样子的。。。
好吧,被墙了。。。
费了一翻周折,最后还是让我打开面页,
里面是修改的类及修改的日志文件,由于tomcat没有提供编译好的class文件,我只能按着网上其它人的方法,看他修改了哪着类,然后自己用eclipse将这个类编译出来,再放入对应的jar包里,最后将 jar包其更新到要打补丁的tomcat上。
参考文章:http://blog.51cto.com/lysweb/752743
扫一扫
1759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
