跳转至

Tomcat容器安全漏洞CVE-2017-5664

2017-07-04 by dongnan

问题描述

Apache Tomcat安全限制绕过漏洞: CVE-2017-5664

漏洞描述: 攻击者可以利用该漏洞构造恶意请求会导致文件删除,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。

影响范围: Apache Tomcat 9.0.0.M1-9.0.0.M20, 8.5.0-8.5.14, 8.0.0.RC1-8.0.43, 7.0.0-7.0.77版本

详细参见: CVE-2017-5664:Apache Tomcat 安全策略bypass漏洞

解决办法

java 项目所使用的 tomcat:9(9.0.0.M18) 镜像,升级到 tomcat:9(9.0.0.M22) 版本。

操作步骤

受影响的项目使用 Docker,这让安全升级变得非常简便,修改项目的 Dockerfile 文件,定义 FROM 参数使用新的 tomcat:9(9.0.0.M22) 镜像即可。

获得最新镜像

docker pull tomcat:9

镜像的版本

docker inspect tomcat:9 | grep 'TOMCAT_VERSION'
"TOMCAT_VERSION=9.0.0.M22",

项目的 Dockerfile

# 编辑文件
vim Dockerfile

# 修改 FROM 参数
    #FROM      tomcat:9.0.0.M18
    FROM      tomcat:9

创建镜像

docker build -t MyProject:0.0.1 .
#... 省略

验证

docker inspect MyProject:0.0.1 | grep 'TOMCAT_VERSION'
"TOMCAT_VERSION=9.0.0.M22",

小结

docker 的优势在这种类似情况显得更加突出,能够在不影响业务的情况下,对项目镜像进行批量升级操作,神器也。

回到页面顶部