У нас есть производственная среда, работающая на Apache Tomcat 8.0.32. Недавно Apache объявила об исправлении для уязвимости Remote Code Execution CVE-2016-8735 и предложила перенести затронутый Apache Tomcat (версии 8.0.0.RC1 в 8.0.38) в Apache Tomcat 8.0.39.
Если мы не хотим продолжать обновление до более поздней версии, есть ли какие-либо исправления или исправления, которые могут быть применены поверх Apache Tomcat 8.032?CVE-2016-8735: Выполнение удаленного кода Apache Tomcat
0
A
ответ
0
Если вы не хотите обновлять весь пакет, вам нужно будет найти различные svn
фиксации, которые фиксировали CVE, объединили их в исходный пакет 8.0.38, а затем сами построили Tomcat.
Tomcat не публикует отдельные патч-комплекты для CVE; вместо этого они выпускают обновленную версию всего пакета.