CVE-2016-8735: Выполнение удаленного кода Apache Tomcat

Question

У нас есть производственная среда, работающая на Apache Tomcat 8.0.32. Недавно Apache объявила об исправлении для уязвимости Remote Code Execution CVE-2016-8735 и предложила перенести затронутый Apache Tomcat (версии 8.0.0.RC1 в 8.0.38) в Apache Tomcat 8.0.39.
Если мы не хотим продолжать обновление до более поздней версии, есть ли какие-либо исправления или исправления, которые могут быть применены поверх Apache Tomcat 8.032?

Answer 1

Если вы не хотите обновлять весь пакет, вам нужно будет найти различные svn фиксации, которые фиксировали CVE, объединили их в исходный пакет 8.0.38, а затем сами построили Tomcat.

Tomcat не публикует отдельные патч-комплекты для CVE; вместо этого они выпускают обновленную версию всего пакета.