【ZT】Tomcat服务器漏洞，解决方法

Tomcat是一款小型的Web应用服务器，颇受小型企业站长的青睐。Tomcat服务器开放源代码，占用的系统资源小，扩展性好，支持负载平衡与邮件服务等，特别是在Linux系统平台上它优势明显，有广泛的用户群。
　　最近，Tomcat爆出新漏洞。攻击者利用该漏洞轻松进入Web站点后台，然后上传jsp网页木马，通过进一步的提权渗透就可获得服务器的控制权。
　　在攻击者如火如荼地利用该漏洞实施攻击的时候，站长们如何修补该漏洞以报Tomcat服务器的安全呢?笔者曾经在论坛中看到了很多针对该漏洞的修补方法，经过笔者的测试这些方法根本不能有效防范该漏洞。另外还有一些伪技巧，这些所谓的技巧不但不能修补漏洞而且会造成服务器故障。

修补漏洞
　　1、漏洞根源
　　笔者通过测试发现，Tomcat漏洞是由于tomcat-users.xml文件引起的。该文件保存了Tomcat后台登录的用户名和密码，并且默认状态下成功的登录者获得的是manager权限即管理员权限。 下面是默认状态下的tomcat-users.xml文件内容，倒数第二行是最关键的。
<?xml version='1.0' encoding='utf-8'?>
  <tomcat-users>
  <role rolename="tomcat"/>
  <role rolename="role1"/>
  <role rolename="manager"/>
  <role rolename="admin"/>
  <user username="admin" password="admin" roles="admin,manager"/>
</tomcat-users>
　　2、漏洞修补
　　知道了原因，我们的漏洞修补就是对tomcat-users.xml文件进行修改。针对该漏洞我们有两种修改方法，一种是改用户名和密码，一种是修改权限。
　　1、修改用户名及密码
　　我们把tomcat-users.xml文件倒数第二行中的改为，即把登录用户改为lw，登录密码改为gslw。最后重新登录后台测试，用默认的用户名和密码admin登录失败见图4，而用新用户名和密码登录成功。

　　2、修改权限
　　我们把tomcat-users.xml文件倒数第二行中的改为，去掉了admin后面的manager，即取消了管理员权限。然后重启tomcat(必须要重启，因为Tomcat重启时会加载配置文件，这样刚才的修改才会生效。)和图4一样登录失败。
　　总结：本文针对Tomcat服务器漏洞的演示及其修补方法在技术上没有什么难度，但是这些大家不经意的细节往往成为服务器杀手，服务器管理者要提高自己的安全素养。另外，作为服务器管理者要勤于动手，善用分析修补类似本文提及的这样的漏洞。

文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志: