2017-06-12 23 views
0

OracleからCVEがありました。デフォルトのサーブレット書き込み許可を無効にします

CVE-2017から5664のセキュリティ制約の回避の 可能

重大 - Javaサーブレット仕様のエラーページ機構において重要

、エラーが発生すると、エラーページが構成され、元の要求と応答をエラーページに転送する必要があります。

エラーページが静的である場合、実際のHTTPメソッドに関係なく、GETを処理しているかのようにコンテンツファイルを提供することが望ましい動作です。 Tomcatのデフォルトのサーブレットはこれをしませんでした。元の要求に応じて、デフォルトのサーブレットが書き込みを許可する場合、カスタムエラーページの置換や削除など、予期しない望ましくない結果が生じることがあります。

私の質問: (a)既存のデフォルトサーブレットが書き込みを許可するかどうかはどこで確認できますか? (b)デフォルトサーブレットの作成をどこで禁止できますか?

答えて

関連する問題