解决Apache Tomcat Default Files的Nessus中危漏洞

Posted 2023-04-09

参考技术A

【问题描述】
Nessus扫描出的Tomcat默认文件相关的中危漏洞，如下：
12085 - Apache Tomcat Default Files -
Synopsis
The remote web server contains default files.
Description
The default error page, default index page, example JSPs, and/or example servlets are installed on the remote Apache Tomcat server. These files should be removed as they may help an attacker uncover information about the remote Tomcat install or host itself.
See Also
https://wiki.apache.org/tomcat/FAQ/Miscellaneous#Q6
https://www.owasp.org/index.php/Securing_tomcat
Solution
Delete the default index page and remove the example JSP and servlets. Follow the Tomcat or OWASP instructions to replace or modify the default error page.
Risk Factor
Medium
CVSS v3.0 Base Score
7.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
CVSS Base Score
6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)
References
XREF CWE:20
XREF CWE:74
XREF CWE:79
XREF CWE:442
XREF CWE:629
XREF CWE:711
XREF CWE:712
XREF CWE:722
XREF CWE:725
XREF CWE:750
XREF CWE:751
XREF CWE:800
XREF CWE:801
XREF CWE:809
XREF CWE:811
XREF CWE:864
XREF CWE:900
XREF CWE:928
XREF CWE:931
XREF CWE:990
Plugin Information:
Published: 2004/03/02, Modified: 2018/01/30
Plugin Output
tcp/8983
The following default files were found :
/nessus-check/default-404-error-page.html

【问题分析】
原因是tomcat默认的404页面带了tomcat的版本号，被Nessus扫描工具认定为中危漏洞。只需将该页面的tomcat版本号去除即可。

【解决方法】
参照 https://blog.csdn.net/damaolly/article/details/73927938
替换404页面为自定义的404页面，去除tomcat版本号即可。
1、在web.xml中增加error-page的配置

2、自定义solr_error_page.html页面，页面中不要存放tomcat版本号。

（2019-06-12 更新）由于Nessus扫描库升级，规则变更，导致该自定义页面solr_error_page.html又被扫描出来了，因此干脆将该页面修改为最简模式，如下：

3、将自定义solr_error_page.html页面放置在如下web应用目录和ROOT下。

4、重启tomcat服务方可生效。

Apache Tomcat/Jboss远程代码执行漏洞 怎样解决

临时漏洞修补办法：给jmx-console加上访问密码
1.在 $jboss.server.home.dir/deploy下面找到jmx-console.war目录编辑WEB-INF/web.xml文件 去掉 security-constraint 块的注释，使其起作用
2.编辑WEB-INF/classes/jmx-console-users.properties或server/default/conf/props/jmx-console-users.properties (version >=4.0.2)和 WEB-INF/classes/jmx-console-roles.properties
或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2) 添加用户名密码
3.编辑WEB-INF/jboss-web.xml去掉 security-domain 块的注释 ，security-domain值的映射文件为 login-config.xml （该文件定义了登录授权方式） 参考技术A 打开腾讯智慧安全页面
然后在里面找到御点终端安全系统
接着选择上方产品选项，在里面选择腾讯御点，修复漏洞