Apache Tomcat 安全漏洞加固指南_apache tomcat漏洞怎么修复

1. 漏洞信息

漏洞加固实施

漏洞1：Apache Tomcat安全漏洞

漏洞详细

漏洞描述：

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。

漏洞引发的威胁：

Apache Tomcat存在安全漏洞，该漏洞源于如果一个HTTP/2客户端连接到超过约定的最大数量的并发流连接(违反HTTP / 2协议),它是可能的后续请求在该连接可以包含HTTP头信息,包括HTTP / 2伪头,从先前的请求而不是标题。这可能导致用户看到对意外资源的响应。以下产品及版本受到影响：10.0.0-M1版本至10.0.0-M7版本, 9.0.0.M1版本至9.0.37版本，8.5.0版本至8.5.57版本。

加固方案

解决方案 （升级tomcat）

查看当前安装是哪个版本 （在tomcat安装目录bin/version.sh查看）

新建个路径存放备份配置文件 

备份当前版本的配置文件到新建的目录中 

下载最新版本的tomcat

官方网址Apache Tomcat® - Welcome!

上传最新版文件

解压安装 重命名一下 

将tomcat10移动到/usr/local目录下

 

将旧版本的备份的配置文件以及项目copy到新版本中 

 

关掉旧版本的tomcat，启动新本本的tomcat 

查看版本、访问浏览器测试功能。 

参考链接

https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E

风险控制措施

有一定的风险，需协调好项目组人员，告知风险情况，做好版本回退

验证结果

解决Apache Tomcat安全漏洞问题；

其他说明

旧版本不要删除，更新后做好功能测试、新版是否影响业务等 方便版本回退。