ApacheTomcat跨站脚本漏洞处理(CVE-2019-0221)
漏洞描述
Apache Tomcat 跨站脚本漏洞描述:
Apache 是美国阿帕奇(Apache)软件基⾦会的⼀款轻量级Web应⽤服务器,Apache Tomcat是⼀个流⾏的开放源码的JSP应⽤服务器程序。该程序实现了对Servlet和JavaServer Page(JSP)的⽀持。
Apache Tomcat的某些⽰例脚本实现上存在输⼊验证漏洞,远程攻击者可能利⽤此漏洞在⽤户浏览器环境下执⾏恶意代码。
Apache Tomcat的⽰例Web应⽤程序中的某些JSP⽂件没有转义某些⽤户输⼊,允许远程攻击者通过包含有“;”字符的特制URI请求执⾏跨站脚本攻击,向⽤户浏览器会话注⼊并执⾏任意Web脚本或HTML代码。
Apache Tomcat 9.0.0.M1版本⾄9.0.0.17版本、8.5.0版本⾄8.5.39版本和7.0.0版本⾄7.0.93版本中存在跨站脚本漏洞。该漏洞源于WEB应⽤缺少对客户端数据的正确验证。攻击者可利⽤该漏洞执⾏客户端代码。SSI printenv命令回显⽤户提供的数据⽽不会转义,它很容易受到XSS的攻击。默认情况下禁⽤SSI。该printenv命令⽤于调试,不太可能出现在⽣产⽹站中。
下载apache
漏洞查证⽹站:www.anquanke/vul/id/1615989
国家信息安全漏洞库:/
漏洞影响:
严重程度:低
供应商:Apache软件基⾦会
受影响的版本:
Apache Tomcat 9.0.0.M1⾄9.0.17
Apache Tomcat 8.5.0⾄8.5.39
Apache Tomcat 7.0.0⾄7.0.93
参考⽹站:
/thread.html/6e6e9eacf7b28fd63d249711e9d3ccd4e0a83f556e324aee37be5a8c@%%3E
漏洞修复
减轻:
受影响版本的⽤户应应⽤以下缓解措施之⼀:
-禁⽤SSI
-不要安装⽰例web应⽤程序
-升级到Apache Tomcat 9.0.18或更⾼版本
-升级到Apache Tomcat 8.5.40或更⾼版本
-升级到Apache Tomcat 7.0.94或更⾼版本
修复建议:/security.html
2)Deployer:是基于Tomcat的web应⽤的发布器,就是在把写好的JavaEE应⽤发布到Tomcat的时候可以使⽤Deployer来动态的发布。所以它不是真正的Tomcat⼆进制版本,它只是⼀个⽤以发布基于Tomcat的Web应⽤的发布⼯具⽽已。因此,⼤家在下载的时候不应该下载这个东西,除⾮想动态的发
布Web应⽤到Tomcat中去。那么Deployer既然是⽤来发布Web应⽤到Tomcat中去的,那么它都能做些什么呢?这⾥有必要跟⼤家交代⼀下Tomcat中的Web应⽤发布的概念。
发布:指的是把⼀个Web应⽤安装到Tomcat服务器中的过程。
在Tomcat中发布Web应⽤可以有两种⽅式:
1、静态发布:指的是在Tomcat未启动的时候,把做好的Web应⽤直接复制到Tomcat服务器中。
2、动态发布:有两种情况
2.1 指的是在Tomcat已经启动运⾏的情况下,通过Tomcat的⾃动部署功能动态操作已经发布的Web应⽤.
2.2 指的是通过Tomcat Manager这个Web应⽤通过远程把做好的Web应⽤发布到正在运⾏的Tomcat中去。
Deployer的作⽤就在动态发布Web应⽤到Tomcat中去的时候体现出来的。
Deployer是⼀个命令⾏的⼯具,它可以编译、验证Web应⽤,还可以把Web应⽤的全部资源打包到War⽂件中。
3)EXtra:功能扩展版,针对特定功能的单独使⽤
4)Embedded:嵌⼊式版本
修复处理
1)下载对应版本后软件解压:
#tar -xzf apache-tomcat-7.0. -C /usr/local/
# cd /usr/local/
#/usr/local/tomcat/bin/shutdown.sh ##关闭服务
#mv /usr/local/tomcat7 /usr/local/tomcat7_old ##备份旧版本tomcat
或Cp –r usr/local/tomcat7 /usr/local/tomcat7_old ##升级失败回退使⽤
#mv apache-tomcat-7.0.96 apache-tomcat ##将解压后的改为tomcat默认路径
cp -rp ../../apache-tomcat_old/l ./ ##配置⽂件覆盖
cd /usr/local/tomcat7/webapps ##进⼊删除⾃带项⽬⽰例及⽂档
rm -rf host-manager
rm -rf examples
rm -rf manager/
rm -rf docs
mv webapps/ webapps-source ##修改⾃带的webapp
cp -pr ../apache-tomcat_old/webapps ./ ##将原项⽬webapp复制到该处
ll -d webapps ##权限验证
./startup.sh ##开启tomcat服务
tail -f ../logs/catalina.out ##服务启动验证
FAQ
1)如果你的tomcat是普通⽤户使⽤的,在root下升级后会出现权限不⼀致导致的问题,这是由系统权限引起的,可修改 catalina.sh
最后升级前进⾏权限验证。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论