记一次tomcat漏洞修复补丁升级

tomcat有安全漏洞,现在用的版本是tomcat8.5.3。

其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决)

绿盟给的建议是:

有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。

升级到高版本的方法,找到对应版本的下载页面,我的是tomcat8,所以打开https://tomcat.apache.org/security-8.html,搜索到相应的漏洞编号,可以看到这个漏洞在8.5.5和8.0.37就已经被修复了。

然后你可以查下现在8的最高版本是多少,下载安装即可,问题解决。

附补丁修复的方法(例子中的这个补丁,很多人反映现在下载不了,可能是现在科学上网比较难吧。。):

由于部分应用不支持tomcat9,所以最后决定用打补丁的方式。

漏洞编号里有对应的补丁编号:

找到对应的补丁下载地址,但点进去却是这个样子的。。。

好吧,被墙了。。。

费了一翻周折,最后还是让我打开面页,

里面是修改的类及修改的日志文件,由于tomcat没有提供编译好的class文件,我只能按着网上其它人的方法,看他修改了哪着类,然后自己用eclipse将这个类编译出来,再放入对应的jar包里,最后将 jar包其更新到要打补丁的tomcat上。

参考文章:http://blog.51cto.com/lysweb/752743

你可能感兴趣的:(java,java,后端)