Tomcat8.5.34.0版本漏洞修复

最新推荐文章于 2026-06-17 13:31:53 发布
原创 最新推荐文章于 2026-06-17 13:31:53 发布 · 1.4k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#tomcat #服务器
本文提供了一步一步的操作指南,帮助读者将 Tomcat 8.5 版本从 8.5.34 升级到 8.5.79,以修复包括远程代码执行漏洞和 AJP 协议文件读取在内的多个安全问题。

Tomcat8.5.34.0版本漏洞修复
漏洞1:拒绝式服务漏洞 组件远程代码执行漏洞 反序列话代码执行漏洞
漏洞2:AJP协议文件读取与包含严重漏洞
1.下载最新版本tomcat8.5.79.0
wget https://dlcdn.apache.org/tomcat/tomcat-8/v8.5.79/bin/apache-tomcat-8.5.79.tar.gz
2.停止tomcat服务,备份源tomcat文件夹只tomcat_bak目录
/usr/local/tomcat/bin/catalina.sh stop
mv tomcat tomcat_bak
3.解压tomcat
tar -axvf apache-tomcat-8.5.79.tar.gz
4.拷贝文件至/usr/local目录下
cp apache-tomcat-8.5.79 /usr/local/
5.替换tomcat相关文件 server.xml web.xml catalina.sh logs
cp /usr/loca/tomcat_bak/conf/{server.xml,web.xml,tomcat-users.xml,tomcat-users.xsd} /usr/local/apache-tomcat-8.5.79/conf/
cp /usr/loca/tomcat_bak/bin/catalina.sh /usr/local/apache-tomcat-8.5.79/bin/
cp /usr/loca/tomcat_bak/logs /usr/local/apache-tomcat-8.5.79/
6.重命名apache-tomcat-8.5.79文件夹为tomcat
mv apache-tomcat-8.5.79 tomcat
7.注释掉配置文件中的AJP协议
vim server.xml

Tomcat-8.5.28漏洞
03-05
Apache_Tomcat存在安全限制绕过的漏洞预警 更新版本下载(漏洞修复版本
Tomcat文件漏洞问题及处理方式
Doubletree.lin的博客
02-25 5474
学海无涯,旅“途”漫漫,“途”中小记,如有错误,敬请指出,在此拜谢! 一、前情提要 用了万年的tomcat,出现了bug。2月21日,据国家信息安全漏洞共享平台公开的漏洞公告中发现Apache Tomcat文件包含漏洞CNVD-2020-10487(对应CVE-2020-1938),Apache Tomcat服务器中被发现存在文件包含漏洞,攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下...
TomcatTomcat多个版本存在拒绝服务漏洞
cnskylee的博客
02-22 8294
Apache Tomcat使用Apache Commons FileUpload的打包重命名副本 提供 Jakarta Servlet 中定义的文件上传功能 规范。因此,Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞(DoS)2022年12月11日。
一文了解Tomcat/8.5.19文件上传漏洞复现
allintao的博客
03-13 6990
这里返回201是成功的呢,说明我们的绕过成功了,然后这里我们要写相应的JSP木马在请求正文里,那么不会写的怎么办呢,这里可以像我一样用Godzilla一键生成,这里管理点开有个生成,并将有效载荷选择JavaDynamicPayload,点击生成。这里发现后缀为jsp的格式好像是上传不成功,那么我们可以尝试绕过,这里绕过的方式有很多,可以文件流绕过,可以空格绕过,可以"/"绕过,大家可以自己尝试,这里我用"/"绕过。很明显返回的值为201,说明是可行的,那我们直接上传JSP木马可不可以呢?
Tomcat-8.5.19】文件写入漏洞
m0_63241485的博客
08-25 4791
tomcat后端使用org.apache.catalina.servlets.JspServlet来处理jsp或是jspx后缀的请求, 而JspServlet负责处理所有JSP和JPSX类型的动态请求, 从代码没有发现处理HTTP PUT类型的操作,所以可知PUT以及DELTE等HTTP操作由DefautServelt实现。该漏洞实际上是利用了windows下文件名解析的漏洞来触发的。
Tomcat反序列化漏洞
flyingzc的博客
07-19 1640
Tomcat反序列化漏洞 CVE-2020-9484 漏洞简介 当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。 影响版本 <= 9.0.34 <= 8.5.54 <= 7.0.103 漏洞分析 配置的className=“org.apache.catalina.session.FileStore” 查看FileStore的load方法,代码如下 public Sessio
Apache Tomcat 8.0.53 & 8.5.34 版本全面介绍及实战指南
weixin_35761094的博客
07-25 1189
Apache Tomcat是Java社区用来部署Java Servlet和JavaServer Pages (JSP)应用程序的一个开源的Web服务器和Servlet容器。Tomcat提供了Java HTTP Web服务器环境,支持在JSP和Servlet API规范下运行。
深入解析Tomcat AJP协议漏洞CVE-2020-1938:从原理到实战修复
最新发布
weixin_30411239的博客
06-17 287
在Web应用安全领域,中间件漏洞是攻击者常利用的突破口。以Apache Tomcat为例,其AJP协议作为与前端服务器通信的高效二进制通道,常被视为内部可信服务。然而,协议处理逻辑的缺陷可能导致严重的安全问题。其核心原理在于请求属性处理不当,攻击者可构造恶意AJP请求,诱使服务器进入包含逻辑分支,从而绕过安全限制读取受保护目录下的敏感文件。这种漏洞的技术价值在于揭示了内部服务协议安全的重要性,以及纵深防御中“信任边界”的脆弱性。在应用场景中,此类漏洞常在内网渗透时被利用,攻击者通过暴露的AJP端口或已攻陷的
java反序列化漏洞 tomcat,Apache Tomcat 反序列化代码执行漏洞复现(CVE-2020-9484)
weixin_39690972的博客
03-15 350
前言Apache Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。漏洞分析1、攻击者能够控制服务器上文件的...
【Apache Tomcat信息泄露漏洞
m0_46459413的博客
11-02 4797
9月28日,Apache发布安全公告,公开披露了Tomcat中的一个信息泄露漏洞(CVE-2021-43980)。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误(极难触发),可能使客户端连接共享一个Http11Processor实例,导致响应或部分响应被错误的客户端接收,造成信息泄露。Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78
tomcat中间件的文件上传漏洞
qq_57654664的博客
11-22 440
生成过后将jsp一句话木马复制到包中,使用put的传参方式发送一个shell.jsp的木马,这里密码和密钥随便输出,保证后面能够链接即可,选择JavaDynamicPayload的攻击载荷和java的加密器。接下来的步骤就简单很多了,通过哥斯拉连接文件,代理端口可以在不与现有已开启端口冲突的情况下,可以任意选择,密码密钥,有效载荷和加密器与之前建立的jsp木马的相契合即可。
Tomcat漏洞详解
m0_64481831的博客
03-06 4453
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 7716
链接。
Tomcat 漏洞修复建议
zzuwyw的博客
06-23 2529
Tomcat 漏洞修复建议Tomcat进程运行权限检测访问控制总结 Tomcat进程运行权限检测访问控制 描述 在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。 加固建议 创建低权限的账号运行Tomcat,操作步骤如下: ?--新增tomcat用户 useradd tomcat --tomcat目录owner改为tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原来的tomcat服务 --切换到tomcat
用JSP求1~10的阶乘
baidu_38958878的博客
05-28 1万+
pageEncoding="UTF-8"%> Insert title here     int a=1;   for(int i=1;i %>        } %> for(int i=1;i   { a=a*i; %>          } %>
Tomcat漏洞复现
Bird&Bird
12-28 6423
目录一、漏洞描述二、影响范围三、漏洞分析四、环境搭建五、漏洞复现 一、漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞Tomcat 运行在 Windows 主机上,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务
tomcat漏洞修复
m0_61069946的博客
03-19 7362
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
portal 常见漏洞与解决方法(基于 Tomcat8.5)
alexpdh的博客
08-09 4276
看着这么多需要修复的感觉整个人都不好了[捂脸]。借着一次修复过程,总结下常见的 Web 应用的优化和漏洞防护。由于使用的容器是 Tomcat,所以对 Tomcat进行优化能解决大部分问题。 COOKIE 常用属性设置 添加 httponly=true 和 Secure=true httponly 能有效防止 XXS 攻击。 Secure 设置是否只能通过https来传递此条...
第八天作业
m0_64429977的博客
09-06 966
1)RCE(远程命令执行)漏洞,一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。如果设计者在完成该功能时,没有做严格的安全控制,测可能会导致攻击者通过该接口提交“意想不到"的命令,从而让后台进行执行,从而控制整个后台服务器
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
热门推荐
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陪你听风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值