安全加固-浅谈Tomcat升级

Posted 2021-04-04 Farbs安全

近日Apache官方发布公告称，在Windows平台上运行的Tomcat存在一个远程代码执行漏洞。该漏洞（CVE-2019-0232）原因是当将参数从JRE传递到Windows环境时，由于CGIServlet中的输入验证错误而存在该漏洞。该漏洞影响范围非常大，官方及时推出的最新版本分别为7.0.94和8.5.40（目前，官方暂未推出9.0.X最新版本），本文以7.0.29版本升级到7.0.94版本演示Tomcat版本升级方法。

为确保Tomcat升级不影响系统稳定运行，故先在本地搭建测试环境如下：

操作系统：Windows Server2003 Enterprise Edition  SP2

原Tomcat版本：7.0.29

计划升级版本：7.0.94

Java版本：1.7.0_01（如果服务器已安装java，可使用命令：java -version 查看版本信息）

温馨提示：Tomcat运行需要安装Java环境，此处不演示安装JDK及配置环境变量的步骤。

 

下面为大家演示Windows系统下Tomcat版本更新：

1、查看本地服务器Tomcat版本信息。

浏览器中访问：http://localhost:8080/，可显示Tomcat版本信息：

2、停止当前Tomcat服务。

3、备份当前Tomcat数据：找到Tomcat文件夹，复制并改名为.bak即可。

4、官网下载最新的Tomcat上传至服务器并解压，需根据服务器版本信息进行下载。

5、将解压的Tomcat（新）文件放在之前旧Tomcat路径下，并将之改名为旧版本Tomcat名（这样就不需要重新设置环境变量）。

6、复制【旧】webapps下的程序包文件夹到【新】webapps下（通常情况下该目录用来存放应用程序，当tomcat启动时会去加载webapps目录下的应用程序。可以以文件夹、war包、jar包的形式发布应用。当然，也可以选择把应用程序放置在磁盘的任意位置，在配置文件中做好映射）。

7、修改新的server.xml配置文件，保证其和旧server.xml内容一致，此处可能需要修改端口、映射路径等信息。截图为常见的修改配置的位置：

8、启动新的Tomcat服务。

• 切换路径至新版Tomcat安装路径并进入bin目录:

执行命令：version.bat，可查看更新后的Tomcat版本信息。

• 启动Tomcat服务：执行startup.bat命令。

• 打开浏览器，访问http://localhost:8080/，显示如下页面表示成功升级Tomcat至最新版本。

探索环节：

• Tomcat安装目录下lib目录主要用来存放tomcat运行需要加载的jar包。故在尝试升级Tomcat时，曾以最新版本Tomcat安装包中的lib文件覆盖旧版lib目录下所有文件，重启服务后竟同样可显示欢迎页面。不知这种方式是否可行，欢迎各位大佬评论留言，互相学习。

参考链接：

http://tomcat.apache.org/tomcat-7.0-doc/changelog.html

http://tomcat.apache.org/tomcat-8.5-doc/changelog.html