OS 취약점 점검 보고서에서 Tomcat 의 취약점이 나왔다.
[취약점 항목]
Apache Tomcat : CVE-2020-1935
Apache Tomcat : CVE-2019-17563
Apache Tomcat : CVE-2019-0221
Apache Tomcat : CVE-2020-17527
[취약점 해결책] 이 제시됨
Upgrade to Apache Tomcat version X.X.XX
[tomcat 마이너 버전 업그레이드 예]
Apache Tomcat >= 7.0 and < 7.0.100
Apache Tomcat >= 7.0 and < 7.0.105 (가장 높은 버전)
Apache Tomcat >= 7.0 and < 7.0.94
Apache Tomcat >= 7.0 and < 7.0.99
이런경우, 7.0.105 이상으로 설치해야 해당 취약점들이 조치가 된다.
OS취약점들은 인프라팀에서 대개 조치를 취해주지만 서비스취약점은 담당 개발자가 조치해야 했으므로
Tomcat의 마이너버전 업그레이드가 필요했다.
Tomcat minor version upgrade 방법
(1) Apache Tomcat 공식사이트에서 버전 확인 ( 포스팅 작성 기준 )
및 업그레이드 하고자 하는 tomcat 버전 다운로드
http://tomcat.apache.org/security-7.html 에 들어가서 확인한결과 가장 높은 버전이 7.0.105 버전
http://tomcat.apache.org/security-8.html 에 들어가서 확인한결과 가장 높은 버전이 8.5.60 버전
(2) 기존 tomcat 디렉토리의 lib 백업
(3) 업그레이드 하고자 하는 tomcat 압축 해제
tar -xvzf apache-tomcat-X.XXX.tar.gz
* 나는 리눅스 환경에서 wget 명령어를 통해 다운받았다.
예 ) wget -e use_proxy=yes -e http_proxy={proxy ip} http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.105/bin/apache-tomcat-7.0.105.tar.gz
(4) 기존 tomcat의 lib 날리고 새로 다운받은 tomcat 경로의 lib로 대체
(5) tomcat 재시작
(6) ./version.sh 실행하여 톰캣버전확인
8.5.57.0 -> 8.5.60.0 버전 업그레이드
[버전 변경 전]
[버전 변경 후]
운영중이던 서버 Tomcat 7.X 자산은 EOS 대상으로 톰캣 메이저버전을 업그레이드 해야하는 업무가 생겼다.
Tomcat 9.X 버전 설치 후, 서버설정 후 서버를 기동한다음 application에 접근하려고 하니
tomcat manager-gui 관련해서 405 ? 403 ? 에러가 났었다.
Tomcat 특정버전 이후부터 Manager Gui 화면은 별도의 설정을 통해서만 접근이 필요했던건데
하필 서비스하고 있던 application의 Context uri이 /manager 였어서 tomcat manager gui 화면에 접근하려고 했던 것.