背景
系统漏洞扫描发现了tomcat版本存在安全绕过漏洞,百度了一下这个漏洞的信息:
Apache Tomcat中存在安全绕过漏洞。攻击者可借助恶意的Web应用程序利用该漏洞绕过安全限制。以下版本受到影响:Apach Tomcat 9.0.0.M1至9.0.0.M9版本,8.5.0至8.5.4版本,8.0.0.RC1至8.0.36版本,7.0.0至7.0.70版本,6.0.0至6.0.45版本。
官网修复日志
怎么查找这个漏洞最近的修复版本是什么呢?应用搜索技能,我们知道了这个漏洞编号为“CVE-2018-1305”,于是就可以百度搜索关键字如下:
CVE-2018-1305 inurl:tomcat.apache.org
这种漏洞修复日志,当然属官网的信息是最准确的,所以查找时限定在官网查询,通过高级搜索指令inurl限定搜索网站范围就可以了。
点开搜索结果的第一条就能看到各个版本关于该漏洞的修复状况了:
Apache脆弱性修复说明
在该页面全局搜索“CVE-2018-1305”,我们可以看到8.5版本最近修复的版本是8.5.28,所以我们如果是使用8.5版本的Tomcat,只要更新最新为8.5.32版本就可以了。
Tomcat版本信息
Tomcat的目录下有一个RELEASE-NOTES文件中描述了版本信息,但是这个是描述文件,真正查看版本信息的命令是catalina.sh version。Tomcat8.5.23版本还有一个缺陷,就是版本号信息不正确,我们通过执行命令:
bin/.catalina.sh version
最终得到的版本信息却是8.0.0,截图信息如下:
缺陷根源在于Tomcat的版本信息是写在一个ServerInfo.properties配置文件中的,该文件的路径为:
8.5.23版本这个配置文件确实是由问题的,修改这个文件与版本一致后再执行version查看命令就正确了。
启示录
在网络安全日益严峻的情况下,需要时刻关注Tomcat版本漏洞,这个版本去年还是最新的版本,才一年的时间,Tomcat又发布了好几个新版本,迭代速度之快,非我所料啊。
对于已经验证过的漏洞,我们需要将应用使用的tomcat及时更新到最新版本,以确保应用的安全。