公告ID(KYSA-202208-1215)
公告ID:KYSA-202208-1215
公告摘要:tomcat安全漏洞
安全等級:Important
發(fā)布日期:2022/8/15
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2018-1304
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)�。Apache Tomcat中存在安全漏洞�����。攻擊者可利用該漏洞訪問受保護的Web應(yīng)用程序資源�����。以下版本受到影響:Apache Tomcat 9.0.0.M1到9.0.4版本����,8.5.0版本到8.5.27版本,8.0.0.RC1版本至8.0.49版本�,7.0.0版本至7.0.84版本�����。
·CVE-2018-1305
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目的一款輕量級Web應(yīng)用服務(wù)器�����,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)�����。Apache Tomcat中存在安全漏洞��。攻擊者可利用該漏洞獲取被限制的資源���。以下版本受到影響:Apache Tomcat 9.0.0.M1版本至9.0.4版本����,8.5.0版本至8.5.27版本��,8.0.0.RC1版本至8.0.49版本��,7.0.0版本至7.0.84版本���。
·CVE-2018-1336
描述:在帶有補充字符的UTF-8解碼器中����,如果處理不當(dāng)�,可能會導(dǎo)致解碼器中出現(xiàn)無限循環(huán),從而導(dǎo)致拒絕服務(wù)�。受影響的版本:Apache Tomcat 9.0.0.M9到9.0.7,8.5.0到8.5.30,8.0.0.RC1到8.0.51����,以及7.0.28到7.0.86。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
aarch64架構(gòu):
tomcat���、tomcat-admin-webapps����、tomcat-docs-webapp����、tomcat-el-2.2-api、tomcat-javadoc����、tomcat-jsp-2.2-api、tomcat-jsvc��、tomcat-lib�����、tomcat-servlet-3.0-api����、tomcat-webapps
x86_64架構(gòu):
tomcat、tomcat-admin-webapps����、tomcat-docs-webapp、tomcat-el-2.2-api�����、tomcat-javadoc�����、tomcat-jsp-2.2-api��、tomcat-jsvc��、tomcat-lib�����、tomcat-servlet-3.0-api����、tomcat-webapps
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
tomcat-7.0.76-9.el7
tomcat-admin-webapps-7.0.76-9.el7
tomcat-docs-webapp-7.0.76-9.el7
tomcat-el-2.2-api-7.0.76-9.el7
tomcat-javadoc-7.0.76-9.el7
tomcat-jsp-2.2-api-7.0.76-9.el7
tomcat-jsvc-7.0.76-9.el7
tomcat-lib-7.0.76-9.el7
tomcat-servlet-3.0-api-7.0.76-9.el7
tomcat-webapps-7.0.76-9.el7
4.修復(fù)方法
方法一:配置源進行升級安裝
355.打開軟件包源配置文件��,根據(jù)倉庫地址進行修改���。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/
356.配置完成后執(zhí)行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包���,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝,命令如下:
yum install Packagename
357.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
·CVE-2018-1304:需要重啟 tomcat 以使漏洞修復(fù)生效���。
·CVE-2018-1305:需要重啟 tomcat 以使漏洞修復(fù)生效。
·CVE-2018-1336:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7
tomcat(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-admin-webapps-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-docs-webapp-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-el-2.2-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-javadoc-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-jsp-2.2-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-jsvc-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-lib-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-servlet-3.0-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/tomcat-webapps-7.0.76-9.el7.noarch.rpm
tomcat(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-admin-webapps-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-docs-webapp-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-el-2.2-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-javadoc-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-jsp-2.2-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-jsvc-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-lib-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-servlet-3.0-api-7.0.76-9.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/tomcat-webapps-7.0.76-9.el7.noarch.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗證
使用軟件包查詢命令���,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致�����,則說明修復(fù)成功����。
sudo rpm -qa | grep Packagename
