概要描述
本文主要针对 Apache Tomcat 服务器存在多个漏洞(CVE-2019-17569、CVE-2020-1935、CVE-2020-1938),需要升级至 7.0.100, 8.5.51, 9.0.31 或更高版本的问题。
相关链接:https://www.tenable.com/plugins/nessus/133845
详细说明
确认问题 tomcat 版本
目前为止,在 TDH 中遇到该漏洞问题的组件主要为 HDFS、KMS;
HDFS 涉及到角色 Httpfs,KMS 则为 KMS Server。
可以通过如下简单的测试方法确认当前 tomcat 版本:
- 找到涉及角色所在节点
- 浏览器地址栏输入
{节点ip}:{port}/test
查看,Httpfs 角色的 http 端口默认为 14000,KMS Server 的 http 端口默认为 16000,由参数kms.http.port
设置
换包修复步骤
-
下载对应的 patch 包,并上传到 Manager(TOS Registry) 节点
HDFS Httpfs tomcat patch 包
KMS Server tomcat patch 包
MD5值如下:
57b1b960dd67971ae4021a3b3139e406 patch-tomcat_7.0.108_httpfs.tar.gz
64448f7fe19c9a8cae2d077812521553 patch-tomcat_7.0.108_kms.tar.gz
-
确认节点上存在对应角色的 image,以 Httpfs 为例,KMS 类似
$ docker images -a | grep -Fi httpfs
如果显示节点上没有 image,需要手动 docker pull 拉取组件正在使用的 httpfs 镜像
-
解压 patch 包并进入 patch 目录执行 apply_patch.sh
$ tar -zxf patch-tomcat_7.0.108_httpfs.tar.gz $ cd patch-tomcat_7.0.108_httpfs/ $ bash apply_patch.sh
执行以上命令后,再看 image 可以发现已经重新生成新的 Httpfs 镜像
-
重启对应的角色,本例中只需要重启 Httpfs 角色即可
先停止,再启动即可。
-
再次确认 tomcat 版本,本 patch 包升级 tomcat 至 7.0.108
如果集群中同时安装了 KMS 服务,参照 Httpfs 的步骤修复即可。若有其他疑问,您也可以 联系星环科技全球技术支持中心 以寻求帮助。