来自oracle的CVE。
CVE-2017-5664 规避安全约束的可能性
严重程度 - 重要
在Java servlet规范的错误页面机制中,当发生错误并配置了错误页面时,原始请求和响应需要转移到错误页面。
如果错误页面是静态的,则所需的行为是提供内容文件,就像处理GET一样,无论实际的HTTP方法如何。 Tomcat的默认servlet没有这样做。根据原始请求,如果默认servlet允许写入,可能会出现意外和不良结果,例如替换或删除自定义错误页面。
我的问题: (a)我在哪里可以检查现有的默认servlet是否允许写入? (b)我可以在哪里禁止默认的servlet写作?
答案 0 :(得分:0)
对于Tomcat 7,此处描述的readOnly标志为https://tomcat.apache.org/tomcat-7.0-doc/default-servlet.html