精华内容
下载资源
问答
  • ![图片说明](https://img-ask.csdn.net/upload/201901/16/1547627943_78808.png) 地址打开后进入如下页面 ![图片说明]... 谁知道该怎么打开补丁页面吗,不胜感激
  • 记一次tomcat漏洞修复补丁升级

    万次阅读 2018-05-26 08:42:36
    tomcat有安全漏洞,现在用的版本是tomcat8.5.3。...有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。 升级到高版本的方法,...

    tomcat有安全漏洞,现在用的版本是tomcat8.5.3。

    其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决)

    绿盟给的建议是:

    有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。

    升级到高版本的方法,找到对应版本的下载页面,我的是tomcat8,所以打开https://tomcat.apache.org/security-8.html,搜索到相应的漏洞编号,可以看到这个漏洞在8.5.5和8.0.37就已经被修复了。

    然后你可以查下现在8的最高版本是多少,下载安装即可,问题解决。

    附补丁修复的方法(例子中的这个补丁,很多人反映现在下载不了,可能是现在科学上网比较难吧。。):

    由于部分应用不支持tomcat9,所以最后决定用打补丁的方式。

    漏洞编号里有对应的补丁编号:

    找到对应的补丁下载地址,但点进去却是这个样子的。。。

    好吧,被墙了。。。

    费了一翻周折,最后还是让我打开面页,

    里面是修改的类及修改的日志文件,由于tomcat没有提供编译好的class文件,我只能按着网上其它人的方法,看他修改了哪着类,然后自己用eclipse将这个类编译出来,再放入对应的jar包里,最后将 jar包其更新到要打补丁的tomcat上。

    参考文章:http://blog.51cto.com/lysweb/752743

     

     

     

    展开全文
  • 访问tomcat的官网漏洞补丁网址 会看到各个版本的tomcat的漏洞修复记录及方法 例如 搜索CVE-2016-6797漏洞的补丁 点击revision后的序列号 进入补丁修复界面,进来之后,可以看到详细的漏洞修复方法,及补丁 访问...

    目录

    访问tomcat的官网漏洞补丁网址

    会看到各个版本的tomcat的漏洞修复记录及方法

    例如 搜索CVE-2016-6797漏洞的补丁

    点击revision后的序列号 进入补丁修复界面,进来之后,可以看到详细的漏洞修复方法,及补丁


    访问tomcat的官网漏洞补丁网址

    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.16

    会看到各个版本的tomcat的漏洞修复记录及方法

    例如 搜索CVE-2016-6797漏洞的补丁

    点击revision后的序列号 进入补丁修复界面,进来之后,可以看到详细的漏洞修复方法,及补丁

    展开全文
  • Tomcat漏洞修复纪实

    千次阅读 2019-07-25 13:30:29
    Tomcat漏洞修复纪实 【事件描述】 最新集团扫描出一堆安全漏洞,要求限期整改,现场环境实际用的时候Apache Tomcat/7.0.94,漏洞见下图: 【漏洞修复评估】 1、漏洞修复补丁官网: ...

    Tomcat漏洞修复纪实

    【事件描述】

    最新集团扫描出一堆安全漏洞,要求限期整改,现场环境实际用的时候Apache Tomcat/7.0.94,漏洞见下图:

    在这里插入图片描述
    附录:查找安全漏洞地址:
    1)https://www.anquanke.com/vul/id/1147247
    2)https://tomcat.apache.org/security.html
    在这里插入图片描述

    【漏洞修复评估】

    1、漏洞修复补丁官网:
    http://tomcat.apache.org/security-7.html
    http://tomcat.apache.org/security-8.html
    http://tomcat.apache.org/security-9.html
    2、漏洞分析结果:
    在这里插入图片描述
    3、中危漏洞评估表:

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    注:Apache Tomcat httpoxy CVE-2016–5195):
    ApacheApacheTomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。ApacheTomcat8.5.4及之前的版本中存在安全漏洞,该漏洞源于程序没有解决RFC3875模式下的命名空间冲突。程序没有正确处理来自HTTP_PROXY环境变量中不可信客户端数据应用程序。远程攻击者借助HTTP请求中特制的Proxyheader消息利用该漏洞实施中间人攻击,指引服务器发送连接到任意主机。httpoxy是一类影响到运行在CGI或者类CGI环境中应用的漏洞,它由一个简单的”命名空间冲突”导致。

    1)RFC3875(CGI)标准,会把请求中的Header加上HTTP_前缀,注册为环境变量。
    2)将请求中的HTTP Proxy的header传递给环境变量HTTP_PROXY
    3)HTTP_PROXY是一个很常用的环境变量,被用来配置对外代理(outgoing proxy)
    这将导致远程利用漏洞。如果正在运行PHP或者CGI,你应该限制Proxy的header。HTTP_PROXY可能会被用来制造”中间人攻击”。下面的一些web服务器、web框架和编程语言受到影响:
    Golang (CVE-2016-5386)
    PHP(CVE-2016-5385)
    HHVM (CVE-2016-1000109)
    Python (CVE-2016-1000110)
    Apache Tomcat (CVE-2016-5388)
    web服务器 – Apache(CVE-2016-5387)、Nginx、Varnish、Httpoxy
    受到影响的发行版 – RHEL、CentOS等

    处理方法参考:
    1)https://legolasng.github.io/2016/07/17/http-proxy-cgi-vulnerability/#%E9%99%8D%E4%BD%8Ecgi%E5%BA%94%E7%94%A8%E7%9A%84httpoxy%E9%A3%8E%E9%99%A9
    2)https://www.cnblogs.com/yuzly/p/11202398.html这里说的比较详细,可惜是windows的,大家可以参考;

    【漏洞修复处理】

    1.备份业务系统tomcat文件:
    进入Tomcat安装目录,现场环境安装在home下,一般安装在/usr/local/下:

    tar -czvf tomcat7.92.bak.tar.gz ./tomcat7.9/* --exclude ./tomcat7.9/logs/ -C /home/vcloud/
    

    2、下载Tomcat7.0.94:
    地址:https://tomcat.apache.org/
    在这里插入图片描述
    找到对应版本,点击进入,找到镜像网站,进入下载:
    镜像站地址:https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-7/v7.0.94/bin/
    在这里插入图片描述
    3、上传到系统中:
    执行rz命令,选中你的tomcat所下载的版本包,上传
    4、进入目录:将源业务系统tomcat7.9更名备份:

    mv ./tomcat7.9 /tomcat7.9.old
    

    5、将新版tomcat7.0.94解压
    6.将解压后的apache-tomat7.0.94xxx更名为./tomcat7.9
    7、进入./tomcat7.9,删除tomcat自带的示例和文档:
    cd ./tomcat7.9/webapps
    rm -rf host-manager
    rm -rf examples
    rm -rf manager/
    rm -rf docs
    8、将原 /tomcat7.9.old中的webapps下的文件全部拷贝到新的webapps下:
    cp -p ./tomcat7.9.old/webapps/* ./tomcat7.9/webapps
    9、将原 /tomcat7.9.old中的conf下的文件全部拷贝到新的conf下:
    cp -p ./tomcat7.9.old/conf/* ./tomcat7.9/conf
    10、进入新tomcat的bin目录下,执行启动脚本,启动tomcat;
    11、输入业务URL验证,至少应该出现:
    在这里插入图片描述
    出现上图是因为我的业务在升级jdk8.0后导致业务异常。
    注:因为这是升级版本,这里在原安装目录下替换tomcat并未全新安装,环境变量使用照旧(因路径未变),否则需要修改环境变量为你的实际变量路径:
    12、如果你要再一台主机实现多tomcat实例,需要比纳基conf/server.xml文件,修改server的端口和connector的端口为不同,然后启动相应的tomcat实例即可。对应的nginx中upstream中添加相应的请求转发。

    参考如下:

    #编辑catalina.sh,追加以下文本行
    sed -i -e '/#!\/bin\/sh/a\export CATALINA_HOME=\/usr\/local\/tomcat7' /usr/local/tomcat7/bin/catalina.sh
    sed -i -e '/#!\/bin\/sh/a\export TOMCAT_HOME=\/usr\/local\/tomcat7' /usr/local/tomcat7/bin/catalina.sh
    sed -i -e '/#!\/bin\/sh/a\JAVA_HOME=\/usr\/java\/jdk1.7.0_80' /usr/local/tomcat7/bin/catalina.sh
    sed -i -e '/# OS specific support.  $var _must_ be set to either true or false./a\JAVA_OPTS="-Xms1024m -Xmx2048m -Xss1024K -XX:PermSize=512m -XX:MaxPermSize=1024m"' /usr/local/tomcat7/bin/catalina.sh
    sed -i -e 's/redirectPort=\"8443\"/redirectPort=\"8443\" URIEncoding=\"UTF-8\"/g'  /usr/local/tomcat7/conf/server.xml
    

    【常用命令】

    1、ps -ef|grep tomcat 查看指定应用的进程
    2、tail -100f catalina.out 查看tomcat运行的日志
    查看固定时间日志cat catalina-2015-09-20.log | grep ‘2015-09-20 18:50:15’
    3、sh bin/startup.sh 重启tomcat
    4、sh bin/shutdown.sh 关闭toomcat
    5、ln -s /home/tomcat/ /usr/locale/tomcat如果要在usr下安装建立软连接
    6、解压命令如下:
    tar –xvf file.tar //解压 tar包
    tar -xzvf file.tar.gz //解压tar.gz
    tar -xjvf file.tar.bz2 //解压 tar.bz2
    tar –xZvf file.tar.Z //解压tar.Z
    unrar e file.rar //解压rar
    unzip file.zip //解压zip
    tar -xzf apache-tomcat-7.0.79.tar.gz
    7、修改iptables规则:
    开启端口(以443端口为例)
    /sbin/iptables -I INPUT -p tcp --dport 443 -j ACCEPT 写入修改
    /etc/init.d/iptables save 保存修改
    service iptables restart 重启防火墙,修改生效
    –关闭端口(以80端口为例)
    /sbin/iptables -I INPUT -p tcp --dport 443 -j DROP 写入修改
    /etc/init.d/iptables save 保存修改
    service iptables restart 重启防火墙,修改生效

    展开全文
  • 一、Apache Tomcat远程代码执行漏洞(CVE-2019-0232) Affects: 7.0.0 to 7.0.93 有补丁 二、Apache Tomcat拒绝服务漏洞(CVE-2016-3092) Affects: 7.0.0 to 7.0.69 无权限 三、Apache Tomcat CORS Filter 安全...

     

    一、Apache Tomcat远程代码执行漏洞(CVE-2019-0232)   Affects: 7.0.0 to 7.0.93

    Apache Tomacat 官网:Apache Tomcat® - Apache Tomcat 7 vulnerabilities

    RedHat Bugzilla:1701056 – (CVE-2019-0232) CVE-2019-0232 tomcat: Remote Code Execution on Windows (redhat.com)

     

    二、Apache Tomcat拒绝服务漏洞(CVE-2016-3092)    Affects: 7.0.0 to 7.0.69

    Apache Tomacat 官网:Apache Tomcat® - Apache Tomcat 7 vulnerabilities

    RedHat Bugzilla:1349468 – (CVE-2016-3092) CVE-2016-3092 tomcat: Usage of vulnerable FileUpload package can result in denial of service (redhat.com)

     

    三、Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)   7.0.89 已经修复

    Apache Tomacat 官网:Apache Tomcat® - Apache Tomcat 7 vulnerabilities

    RedHat Bugzilla:1579611 – (CVE-2018-8014) CVE-2018-8014 tomcat: Insecure defaults in CORS filter enable 'supportsCredentials' for all origins (redhat.com)

     

    四、Apache Tomcat 安全限制绕过漏洞(CVE-2016-8735)  Affects: 7.0.0 to 7.0.72  升级Tomcat版本到 7.0.76-6

    Apache Tomacat 官网:Apache Tomcat® - Apache Tomcat 7 vulnerabilities

    RedHat Bugzilla:1397485 – (CVE-2016-8735) CVE-2016-8735 tomcat: Remote code execution vulnerability in JmxRemoteLifecycleListener (redhat.com)

          该漏洞与之前Oracle发布的 mxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)相关,是由于使用了JmxRemoteLifecycleListener 的监听功能所导致。而在Oracle官方发布修复后,Tomcat未能及时修复更新而导致的远程代码执行。
          该漏洞所造成的最根本原因是Tomcat在配置JMX做监控时使用了 JmxRemoteLifecycleListener 的方法。

    漏洞影响范围

    • Apache Tomcat 9.0.0.M1 to 9.0.0.M11
    • Apache Tomcat 8.5.0 to 8.5.6
    • Apache Tomcat 8.0.0.RC1 to 8.0.38
    • Apache Tomcat 7.0.0 to 7.0.72
    • Apache Tomcat 6.0.0 to 6.0.47

    漏洞修复建议(或缓解措施)

    • 紧急措施:关闭JmxRemoteLifecycleListener功能,或者是对jmx JmxRemoteLifecycleListener远程端口进行网络访问控制。同时,增加严格的认证方式。

    • 推荐方案:官方已经发布了版本更新,建议您升级到最新版本。

      • Apache Tomcat 9.0.0.M13或更新版本(Apache Tomcat 9.0.0.M12也修复了此漏洞,但并未发布)
      • Apache Tomcat 8.5.8或更新版本(Apache Tomcat 8.5.7也修复了此漏洞,但并未发布)
      • Apache Tomcat 8.0.39或更新版本
      • Apache Tomcat 7.0.73或更新版本
      • Apache Tomcat 6.0.48或更新版本
    展开全文
  • tomcat 漏洞解决方案2

    2011-07-28 12:26:39
    [b]Apache Tomcat WebDav远程信息泄露漏洞[/b] 如果将Apache Tomcat的WebDAV servlet配置为同上下文使用且允许写访问的话,则远程攻击者可以通过提交指定了SYSTEM标签的WebDAV请求导致泄露任意文件的内容。 建议:...
  • 背景:最近公司漏洞扫描发现了一大批的高危漏洞,需尽快修复,今天来说一说中间件Tomcat漏洞修复方法,Tomcat是一款开源的软件,官方没有补丁这么一说,只能小版本进行升级,具体操作清下看!1、下载7.5的新版本稳定...
  • tomcat7打补丁版.rar

    2020-04-23 15:06:42
    针对tomcat7存在漏洞升级补丁漏洞影响的tomcat7版本为Apache Tomcat 7.0.0 to 7.0.93
  • tomcat补丁升级

    千次阅读 2011-12-28 10:43:15
    最近,公司绿盟漏洞扫描发现一台tomcat6.0.16(可通过目录下的release-notes查看版本)服务器有漏洞,并提供了补丁下载地址,通过下载地址到tomcat公网,发现只是4个java源文件及一个变更日志的xml文件。一时不知道...
  • 本文讲的是Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass, (注:图片来源于网络) Apache Tomcat 修复了2个严重级别的漏洞, 分别为:信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-...
  • Tomcat RCE 漏洞复现(CVE-2019-0232)

    万次阅读 2019-04-18 14:12:03
    tomcat 9.0.19之前 版本都会影响 (tomcat 服务器版本在受影响范围内的小伙伴可以打一波补丁了) 测试环境 tomcat 版本8.5.31 jdk版本8.121 漏洞利用前提 修改conf里面的内容 第一处:con...
  • 本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介Apache Tomcat发布通告称修复了一个源于持久化Session的远程...
  • 作者:N1gh5合天智汇title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞...
  • 服务总线smp的tomcat-7.0.57存在安全漏洞,升级tomcat到7.0.81版本,已在公司测试环境、演示环境测试通过。
  • Tomcat官网对应的漏洞升级补丁 链接如下: http://tomcat.apache.org/security-3.html http://tomcat.apache.org/security-4.html http://tomcat.apache.org/security-5.html ...
  • 本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介A...
  • Apache Tomcat发布了安全补丁,修补了一个AJP相关的严重漏洞,编号为CVE-2020-1983。Tomcat是目前比较流行的Web应用服务器,其中AJP协议实现存在任意文件读取漏洞。当前公开利用代码已经在互联网发布,存在较高的...
  • Apache Tomcat发布了安全补丁,修补了一个AJP相关的严重漏洞,编号为CVE-2020-1983。Tomcat是目前比较流行的Web应用服务器,其中AJP协议实现存在任意文件读取漏洞。当前公开利用代码已经在互联网发布,存在较高的...
  • 本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介Apache Tomcat发布通告称修复了一个源于持久化Session的远程...
  • Tomcat和Hashtable 碰撞拒绝服务漏洞 http://developer.51cto.com/art/201112/310300.htm 之前你可能听说过关于 Java 中的哈希表实现上的漏洞,现如今因为 Tomcat 使用了哈希表来存储 HTTP 请求参数,因此也受此...
  • 2017年9月19日, Apache Tomcat官方发布两个严重的安全漏洞, 其中CVE-2017-12615为远程代码执行漏洞,通过put请求向服务器上传恶意jsp文件, 再通过jsp文件在服务器上执行任意代码, 且最新的补丁未完全修复漏洞。...
  • 看起来每次发布新版本就会修复前面版本报出的漏洞,所以打补丁简单的做法就是下载最新的Tomcat替换之前的版本,不过这也是最笨的方法了。   原来以为Tomcat的版本升级只不过优化一下而已,如果之前的版本没问题,...
  • 根据安全漏洞信息提供的解决方案(补丁获取链接:https://www.apache.org/security/asf-httpoxy-response.txt)Apache Tomcat提到三种解决方案,本人最终采用第二种方式: 找到解决方法,接下来就是开始动手写...
  • 9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
  • tomcat安全加固

    2019-07-29 23:39:29
    补丁漏洞管理:必须及时安装与安全性相关的tomcat补丁,可以订阅下面的网站进行查看:http://tomcat.apache.org/lists.html#tomcat-announce 设置tomcat服务权限最小化: useradd -s /sbin/nologin tomcat /usr...
  • 之前S2-020漏洞利用方式见drops:Struts2 Tomcat class.classLoader.resources.dirContext.docBase赋值造成的DoS及远程代码运行利用! 临时不清楚究竟是谁发出来的补丁绕过。之前 @Nebula 发的Tomcat: ...
  • Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数...在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器...

空空如也

空空如也

1 2 3
收藏数 54
精华内容 21
关键字:

tomcat漏洞补丁