我的Archive Server版本是16.2.0,我使用的是tomcat 8.5.39版本。
安全团队发现了这些漏洞,并要求将tomcat版本升级到8.5.60。
我已经使用以下步骤将tomcat升级到较新的次要版本。升级Tomcat:
- 从Tomcat网站下载最新的64位ZIP文件(https://tomcat.apache.org/download-80.cgi(
- 停止Apache Tomcat和Archive Spawner服务。退出Tomcat托盘控件(tomcat8w.exe(
- 备份<Tomcat_home>文件夹:•conf文件夹•在lib文件夹中:–activation.jar(自更新16.2.2以来(–archive-help-config.jar–as_bizprovAPI.jar–as_intf.jar–as_metadataAPI.jar–commons-logging-1.1.jar–ixosBaseIntf.jar–jicsdb_intf.jar-jicsx_intf.jar–log4j.jar
- 删除bin和lib文件夹
- 在webapps文件夹中,删除以下文件夹:•docs•manager•ROOT•examples(如果安装(•host manager(如果安装了(
- 删除工作文件夹中的所有文件和文件夹
- 将以下文件夹从新Tomcat的临时文件夹复制到<Tomcat_home>文件夹:•bin•lib•webapps(接受合并文件夹(
- 将保存的文件从lib文件夹(步骤3(复制到<Tomcat_home>\lib文件夹
- 启动Apache Tomcat和Archive Spawner服务
升级成功,我已经验证了日志文件夹中的as.log文件,我可以看到8.5.60版本。但安全团队表示,该版本仍然是8.5.39,他们仍然看到了漏洞。你们能猜出原因是什么吗。我还重新启动了档案服务器
Tenable查看注册表信息,并且替换文件的方法不会修改注册表数据。因此,将flag输出为8.5.39。