4
Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass (www.freebuf.com)
IngramChen 積分 0

Windows

不痛不癢

natsu 積分 1

然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。

這一段提到的也會影響 Linux ...

目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞。

預設 readonly 就會是 true 了,所以沒有必要的話不要去改 ...