背景
系統漏洞掃描發現了Tomcat 版本存在安全繞過漏洞,百度了一下這個漏洞的信息:
Apache Tomcat中存在安全繞過漏洞。攻擊者可藉助惡意的 Web應 用程序利用該漏洞繞過安全限制。以下版本受到影響:Apach Tomcat 9.0.0.M1 至 9.0.0.M9 版本,8.5.0 至 8.5.4 版本,8.0.0.RC1 至8.0.36 版本,7.0.0 至 7.0.70 版本,6.0.0 至 6.0.45版本。
官網修復日誌
怎麼查找這個漏洞最近的修復版本是什麼呢?應用搜索技能,我們知道了這個漏洞編號為 「CVE-2018-1305」,於是就可以百度搜索關鍵字如下:
CVE-2018-1305 inurl:tomcat.apache.org
這種漏洞修復日誌,當然屬官網的信息是最準確的,所以查找時限定在官網查詢,通過高級搜索指令 inurl 限定搜索網站範圍就可以了。
點開搜索結果的第一條就能看到各個版本關於該漏洞的修復狀況了:
Apache脆弱性修復說明
在該頁面全局搜索「 CVE-2018-1305″,我們可以看到 8.5 版本最近修復的版本是 8.5.28,所以我們如果是使用 8.5 版本的 Tomcat,只要更新最新為 8.5.32 版本就可以了。
Tomcat 版本信息
Tomcat 的目錄下有一個 RELEASE-NOTES 文件中描述了版本信息,但是這個是描述文件,真正查看版本信息的命令是 catalina.sh version。Tomcat8.5.23 版本還有一個缺陷,就是版本號信息不正確,我們通過執行命令:
bin/.catalina.sh version
最終得到的版本信息卻是8.0.0,截圖信息如下:
缺陷根源在於 Tomcat 的版本信息是寫在一個 ServerInfo.properties 配置文件中的,該文件的路徑為:
8.5.23 版本的這個配置文件的內容不正確,這個文件與版本一致後再執行version查看命令就正確了。
啟示錄
在網絡安全日益嚴峻的情況下,需要時刻關注Tomcat 本漏洞,這個版本去年還是最新的版本,才一年的時間,Tomcat 發佈了好幾個新版本,迭代速度之快,非我所料啊。
對於已經驗證過的漏洞,我們需要將應用使用的 Tmcat 時更新到最新版本,以確保應用的安全。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/252485.html
微信掃一掃 
支付寶掃一掃 