tomcat

[CVE-2020-1938] apache tomcat 취약점에 따른 업데이트시 참고 사항

2020-03-10 KENNETH 0

CVE-2020-1938 취약점 CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938 KISA : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35292APACHE : http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100   취약점 해결을 위해서는 tomcat 을 최신버전으로 업데이트 해줘야 한다. 2020.03.10 기준 tomcat7 의 경우 7.0.100 버전 으로 tomcat8 의 경우 8.5.51 버전 으로 tomcat9 의 경우 9.0.31 버전 으로 업데이트를 해줘야 한다.   발단 tomcat7 을 사용중인 서버가 있어 기존 : tomcat-7.0.64 변경 : tomcat-7.0.100 으로 계획후 작업을 진행 별다른 이슈가 없을것으로 보였고, 작업을 진행했으나 문제 발생   발생한 문제점 1. 에러로그 발생 The AJP Connector is configured with secretRequired=”true” but the secret attribute is either null or “”. 기존에 존재하지 않았던 로그   2. 503 오류 발생 jsp 페이지 자체가 로딩되지 않는 문제가 있었다.     해결 1. secretRequired=”true” 참조 : https://tomcat.apache.org/tomcat-7.0-doc/changelog.html Rename the requiredSecret attribute of the AJP/1.3 Connector to secret and add a new attribute secretRequired that defaults to true. When secretRequired is true the AJP/1.3 [ more… ]

“java.lang.OutOfMemoryError: PermGen space” error in tomcat7

2018-08-01 KENNETH 0

에러메세지 Exception in thread “ajp-bio-8009-exec-3” java.lang.OutOfMemoryError: PermGen space     원인 참고URL : http://wiki.sys4u.co.kr/pages/viewpage.action?pageId=7766559 (이 사이트에 설명이 아주~ 잘 되어 있다.. 저렇게 설명을 잘 하는 사람보면 부럽다능….) 메모리 누수이든 부족이든… PermGen 공간이 부족하게 된 것이 원인     해결 구동시 옵션 조정 filename : catalina.sh export JAVA_OPTS=”-Xms1024m -Xmx1024m -XX:NewSize=256m -XX:MaxNewSize=512m -XX:PermSize=256m -XX:MaxPermSize=512m” catalina.sh 파일의 상단부에 대략 저런 모양의 설정을 추가해주면 된다. 수치는 적당히… 보통의 환경에서 jdk + tomcat 만 놓고 간단하 jsp 파일 파싱 테스트를 하는 경우는 거의 발생하지 않는 에러이지만 특정 프레임워크를 사용하는 등의 “뭔가 부가적인 행위”가 추가 될 경우 발생할 가능성이 있다.

No Image

RedHat 계열 Apache Tomcat 신규 취약점 보안 업데이트 권고

2016-10-14 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24646   □ 개요 o RedHat社는 RedHat 기반 시스템의 Apache Tomcat에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1] – RedHat Enterprise Linux 7 기반 시스템이 해당되며 공격자가 해당 취약점을 악용하여 로컬권한상승을 통해 시스템 제어권한을 획득할 수 있음 □ 설명 o tomcat.conf의 취약한 파일 권한으로 인해 발생할 수 있는 로컬권한상승 취약점(CVE-2016-5425) □ 해당 시스템 o 영향 받는 제품 및 버전 – RedHat Enterprise Linux 7 기반 시스템의 기본 저장소 Apache Tomcat 6/7/8 버전 ※ 해당 OS : RedHat, CentOS, Fedora, Oracle Linux, openSUSE □ 해결 방안 o 해당 벤더사의 최신 Apache Tomcat 패키지 업데이트 o 패키지 업데이트가 불가능한 사용자는 /usr/lib/tmpfiles.d/tomcat.conf 파일의 쓰기권한을 제거 – chmod 644 /usr/lib/tmpfiles.d/tomcat.conf 명령어를 통해 권한을 변경 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://access.redhat.com/security/cve/CVE-2016-5425

No Image

Apache Tomcat Versions – Which Do I Want?

2016-06-23 KENNETH 0

출처 : http://tomcat.apache.org/whichversion.html   Apache Tomcat Versions Apache Tomcat® is an open source software implementation of the Java Servlet and JavaServer Pages technologies. Different versions of Apache Tomcat are available for different versions of the Servlet and JSP specifications. The mapping between the specifications and the respective Apache Tomcat versions is: Servlet Spec JSP Spec EL Spec WebSocket Spec JASPIC Spec Apache Tomcat version Actual release revision Supported Java Versions 4.0 TBD (2.4?) TBD (3.1?) TBD (1.2?) 1.1 9.0.x 9.0.0.M8 (alpha) 8 and later 3.1 2.3 3.0 1.1 1.1 8.5.x 8.5.3 7 and later 3.1 2.3 3.0 1.1 N/A 8.0.x (superseded) 8.0.35 (superseded) 7 and later 3.0 2.2 2.2 1.1 N/A 7.0.x 7.0.70 6 and later (7 and later for WebSocket) 2.5 2.1 2.1 N/A N/A 6.0.x 6.0.45 5 and later 2.4 2.0 N/A N/A N/A 5.5.x (archived) 5.5.36 (archived) 1.4 [ more… ]

No Image

tomcat + apache by mod_proxy

2015-04-28 KENNETH 0

  1. load module LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so   2. virtual host <VirtualHost *:80> ServerName jsp.jirak.net CustomLog logs/jsp.jirak.net-access.log common ErrorLog logs/jsp.jirak.net-error.log ProxyRequests Off ProxyPreserveHost On <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ </VirtualHost>