柚子快報(bào)邀請(qǐng)碼778899分享：Tomcat升級(jí)和安全防護(hù)

http://yzkb.51969.com/

在Windows系統(tǒng)中升級(jí)Tomcat的步驟如下： 1.停止當(dāng)前Tomcat： 如果是使用腳本啟動(dòng)運(yùn)行的，打開(kāi)命令提示符（cmd）或PowerShell，導(dǎo)航到Tomcat的bin目錄，例如cd C:\apache-tomcat-x.x\bin（其中x.x是當(dāng)前的Tomcat版本號(hào)），運(yùn)行shutdown.bat來(lái)停止Tomcat。如果是安裝為服務(wù)，使用管理員權(quán)限打開(kāi)cmd.exe，執(zhí)行net stop 服務(wù)名，或者直接在服務(wù)里找到Tomcat，然后鼠標(biāo)右鍵選擇停止。

2.下載新版本的Tomcat：使用指定版本的Tomcat 8.5.100

3.解壓新版本Tomcat：

將下載的.zip文件解壓到一個(gè)新的目錄。例如，你可以解壓到C:\apache-tomcat-new-version。

4.備份舊的配置文件：

導(dǎo)航到舊Tomcat的conf目錄，例如cd C:\apache-tomcat-x.x\conf。復(fù)制server.xml、web.xml等配置文件到安全的位置作為備份。

5.復(fù)制配置文件到新Tomcat：

將備份的配置文件復(fù)制到新Tomcat的conf目錄中。例如，使用copy命令或文件瀏覽器進(jìn)行復(fù)制。

6.遷移應(yīng)用程序：

如果你的應(yīng)用程序部署在webapps目錄下，將舊Tomcat的webapps目錄下的應(yīng)用程序文件夾復(fù)制到新Tomcat的webapps目錄中。

7.啟動(dòng)新版本的Tomcat：

導(dǎo)航到新Tomcat的bin目錄，例如cd C:\apache-tomcat-new-version\bin。運(yùn)行startup.bat來(lái)啟動(dòng)新版本的Tomcat,或者執(zhí)行net start 服務(wù)名。

8.檢查T(mén)omcat日志：

導(dǎo)航到新Tomcat的logs目錄，例如cd C:\apache-tomcat-new-version\logs。查看catalina.out或其他相關(guān)日志文件，確保沒(méi)有錯(cuò)誤或異常。

9.訪(fǎng)問(wèn)應(yīng)用程序：

在瀏覽器中訪(fǎng)問(wèn)你的應(yīng)用程序，確保一切工作正常。

請(qǐng)注意，在升級(jí)過(guò)程中，確保你的應(yīng)用程序與新版本的Tomcat兼容，并且始終在升級(jí)生產(chǎn)環(huán)境之前在測(cè)試環(huán)境中進(jìn)行充分的測(cè)試。此外，如果Tomcat的路徑或端口號(hào)發(fā)生更改，請(qǐng)確保更新任何相關(guān)的系統(tǒng)環(huán)境變量或配置文件。

安全漏洞對(duì)應(yīng)措施

CVE-2020-9484 反序列化漏洞 通用修補(bǔ)建議： 升級(jí)到 Apache Tomcat 10.0.0-M5 及以上版本 升級(jí)到 Apache Tomcat 9.0.35 及以上版本 升級(jí)到 Apache Tomcat 8.5.55 及以上版本 升級(jí)到 Apache Tomcat 7.0.104 及以上版本

CVE-2020-13935：Tomcat 拒絕服務(wù)漏洞 通用修補(bǔ)建議： 升級(jí)到 Apache Tomcat 10.0.0-M7 及以上版本 升級(jí)到 Apache Tomcat 9.0.37 及以上版本 升級(jí)到 Apache Tomcat 8.5.57 及以上版本

Apache Tomcat 信息泄露漏洞，漏洞編號(hào)：CVE-2021-24122 修復(fù)版本

升級(jí)到Apache Tomcat 10.0.0-M10或更高版本；

升級(jí)到Apache Tomcat 9.0.40或更高版本；

升級(jí)到Apache Tomcat 8.5.60或更高版本；

升級(jí)到Apache Tomcat 7.0.107或更高版本；

Apache Tomcat反序列化代碼執(zhí)行漏洞（CVE-2021-25329） 通用修補(bǔ)建議： 升級(jí)Apache Tomcat 10.x>=10.0.2

升級(jí)Apache Tomcat 9.x>=9.0.43

升級(jí)Apache Tomcat 8.x>=8.5.63

升級(jí)Apache Tomcat 7.x>=7.0.108

Tomcat Slowloris 拒絕服務(wù)漏洞 Slowloris是一種試圖使用慢速發(fā)送HTTP請(qǐng)求來(lái)耗盡服務(wù)器資源的攻擊方法，使得目標(biāo)Tomcat服務(wù)器無(wú)法處理其他合法請(qǐng)求。Tomcat在7.0.54之后的版本中修復(fù)了這個(gè)漏洞，通過(guò)增加了對(duì)請(qǐng)求處理時(shí)間的限制，并且可以配置這個(gè)時(shí)間閾值。

如果你正在使用的Tomcat版本低于7.0.54，且你想要修復(fù)這個(gè)漏洞，可以通過(guò)以下方法：

修改新tomcat文件夾下conf/server.xml文件，修改配置如下：

connectionTimeout=“20000”

redirectPort=“8443”

maxThreads=“200”

minSpareThreads=“25”

acceptCount=“100”

/>

升級(jí)到最新的Tomcat版本，這通常會(huì)包含對(duì)Slowloris的防御。

通用修補(bǔ)建議： 升級(jí)Apache Tomcat 7.x>=7.0.54

Tomcat任意身份信息偽造漏洞（CVE-2020-1938） Tomcat例子腳本信息泄露漏洞（CVE-2020-1938）是指Tomcat服務(wù)器中存在的一個(gè)安全漏洞，攻擊者可以通過(guò)發(fā)送特制的HTTP請(qǐng)求，獲取服務(wù)器上的敏感文件列表，包括web應(yīng)用的例子腳本和配置文件等。

解決tomcat示例腳本信息泄露漏洞 將webapps/examples目錄刪除或者重命名為其他文件名 編輯conf/tomcat-users.xml，確保沒(méi)有定義任何用戶(hù)賬號(hào) 編輯conf/web.xml，確保listings的配置設(shè)置為false以關(guān)閉自動(dòng)生成目錄列表的功能 通用修補(bǔ)建議： 升級(jí)到 Apache Tomcat 9.0.31 及以上版本 升級(jí)到 Apache Tomcat 8.5.51 及以上版本 升級(jí)到 Apache Tomcat 7.0.100 及以上版本 如果你使用的是Apache Tomcat 9.0.31或更高版本，或者是Apache Tomcat 8.5.50或更高版本，你可以直接升級(jí)到最新的安全版本。

下載地址： https://tomcat.apache.org/download-90.cgi 或 https://tomcat.apache.org/download-80.cgi

柚子快報(bào)邀請(qǐng)碼778899分享：Tomcat升級(jí)和安全防護(hù)

http://yzkb.51969.com/

好文閱讀