文章插圖

文章插圖

背景
系統漏洞掃描發現了Tomcat 版本存在安全繞過漏洞，百度了一下這個漏洞的信息：

Apache Tomcat中存在安全繞過漏洞 。攻擊者可借助惡意的 Web應 用程序利用該漏洞繞過安全限制 。以下版本受到影響：Apach Tomcat 9.0.0.M1 至 9.0.0.M9 版本，8.5.0 至 8.5.4 版本，8.0.0.RC1 至8.0.36 版本，7.0.0 至 7.0.70 版本，6.0.0 至 6.0.45版本 。

官網修復日志
怎么查找這個漏洞最近的修復版本是什么呢？應用搜索技能，我們知道了這個漏洞編號為 “CVE-2018-1305”，于是就可以百度搜索關鍵字如下：

CVE-2018-1305 inurl:tomcat.apache.org

這種漏洞修復日志，當然屬官網的信息是最準確的，所以查找時限定在官網查詢，通過高級搜索指令 inurl 限定搜索網站范圍就可以了 。
點開搜索結果的第一條就能看到各個版本關于該漏洞的修復狀況了：Apache脆弱性修復說明
在該頁面全局搜索“ CVE-2018-1305″，我們可以看到 8.5 版本最近修復的版本是 8.5.28，所以我們如果是使用 8.5 版本的 Tomcat，只要更新最新為 8.5.32 版本就可以了 。
Tomcat 版本信息
Tomcat 的目錄下有一個 RELEASE-NOTES 文件中描述了版本信息，但是這個是描述文件，真正查看版本信息的命令是 catalina.sh version 。Tomcat8.5.23 版本還有一個缺陷，就是版本號信息不正確，我們通過執行命令：

bin/.catalina.sh version

最終得到的版本信息卻是8.0.0，截圖信息如下：

缺陷根源在于 Tomcat 的版本信息是寫在一個 ServerInfo.properties 配置文件中的，該文件的路徑為：

8.5.23 版本的這個配置文件的內容不正確，這個文件與版本一致后再執行version查看命令就正確了 。
啟示錄
【tomcat版本號查看windows 查詢tomcat版本號】在網絡安全日益嚴峻的情況下，需要時刻關注Tomcat 本漏洞，這個版本去年還是最新的版本，才一年的時間，Tomcat 發布了好幾個新版本，迭代速度之快，非我所料啊 。
對于已經驗證過的漏洞，我們需要將應用使用的 Tmcat 時更新到最新版本，以確保應用的安全 。

• 免費手機數據恢復軟件有哪些 手機數據恢復軟件免費版
• wps表單使用方法視頻 wps表單使用方法電腦版
• win10家庭版虛擬機安裝詳細步驟 win10家庭版虛擬機安裝老是藍屏重啟
• 分享完整版H5社交聊天平臺源碼 php網頁聊天源碼可語音 php網頁聊天源碼
• 游戲版本號多少錢 游戲版號申請條件
• word排版技巧大全視頻教程 word排版技巧大全視頻
• ie10瀏覽器官方下載安卓版 ie10瀏覽器官方下載電腦版
• 大眾好評點評模版 大眾點評的評論模版
• 淘客轉鏈接工具手機版 手機淘寶客轉鏈工具
• 查看mysql版本號 查看數據庫版本mysql