其他分享
首页 > 其他分享> > 企业如何面对Tomcat的诸多安全漏洞?

企业如何面对Tomcat的诸多安全漏洞?

作者:互联网

企业开源的意义


红帽的容器云是OpenShift,里面包含K8S、CRI-O、EFK、OVS等等组件。红帽在发布产品之前,会进行大量的整合工作、修复bug,并提供企业级的技术支持。


那么,如果有人跳出来说,我能把OpenShift这些相关的开源组件挨个都装上,并且拼起来,功能也不比OpenShift少啊,我为啥非要花钱买你OpenShift的订阅服务?


我想说的是:决定用K8S,还是OpenShift的本质,不是能否把这些开源组件都装上,而是取决于是否有精力追和容器云相关的上游几十个开源社区、是否有能力自行进行组件整合、出了问题是否全都自行搞定,以及生产业务系统出现问题,是否有那么多时间允许自己进行故障定位?如果能,那就没有问题。


所以说,企业开源软件的意义,不在于功能特性。闭源软件才可以封闭源码,形成功能不对称。企业开源在企业不必花费大量的时间在各种开源软件的问题解决上、开源技术路线选择。而是更加专注于做自己的业务创新。


言归正传。




什么是Tomcat

Apache Tomcat是由Apache Software Foundation(ASF)开发的一个开源Java WEB应用服务器。一直以来,Tomcat在Web Server领域都有很高的市场占有率。

图片

需要指出的是:Tomcat的核心是一个Servlet Container ,而非Application Server。常见的Application Server通常内嵌Servlet Container(集成Tomcat、Undertow等)。上图中排名第二的JBoss/WildFly,是红帽JBOSS EAP(应用服务器)的社区版本。EAP中除了包含Servlet Container,还包含EJB Container。


既然Tomcat如此流行、好用。那么我们运行一些Web应用,在CentOS上运行Tomcat,看起来是很不错的选择。事实上,很多企业这样做了,尤其是互联网公司。


然后,正是这款全球流行的Web Server,被爆出了大量的安全漏洞。出现这种问题,唯一的解决办法是,照着列表,挨个填坑。

图片

那么,红帽是够提供tomcat的问题修复呢?

接下来我们介绍红帽对Tomcat的支持问题。




红帽支持的Tomcat

在介绍之前,我们首先要明确“支持”两个字的含义,如下图所示:

https://access.redhat.com/zh_CN/support/offerings/production/soc

图片


RHEL5、RHEL6、RHEL7的系统中包含Tomcat的RPM包,这个Tomcat和社区版本的tomcat不完全一样。从RHEL8开始,将不再包含Tomcat TPM包。


Red Hat Enterprise Linux (RHEL) RPM包如下:

红帽软件集合(RedHat Software Collections,RHSCL),对RHEL5-7中自带的tomcat RPM提供技术支持。


在RHEL8中,如果想获取对Tomcat的技术支持,需要使用JBoss Web Server,简称JWS。





什么是JBoss Web Server

JWS是红帽企业级的Web Server,目前最新版本是5.2。

那么,社区版Tomcat、RHEL自带Tomcat和JWS的区别在哪?如下图所示:

图片

JWS5.2包含如下四个主要组件,核心组件是Tomcat9。

图片

所有组件的版本为:

图片

JWS5.2支持的操作系统如下:

JWS5.2新修复的安全漏洞有:

JWS5.2新解决的问题有:




Tomcat和JWS在安全方面的区别

上游社区软件和企业版软件对安全问题的不同处理方式,如下所示。左列是社区Tomcat的安全处理方式,右列是JWS和红帽RHEL中自带Tomcat的处理方式。

图片


红帽产品安全团队会在该页面及时发布和更新产品安全相关的信息

https://access.redhat.com/security/

图片


如何查看与红帽相关的CVE?如下图所示:

图片

图片

当发现一个安全漏洞时,如何确认红帽产品是否受该漏洞的影响?

图片

图片


图片




客户如何选择

  1.  如果使用的是CentOS安装了tomcat,这无法得到红帽的技术支持。

  2. 如果使用的是RHEL,并且有订阅支持。

(1)如果使用的是RHEL6或RHEL7,并且RHEL中自带的Tomcat符合版本要求,可以继续使用RHEL自带的tomcat,有红帽支持。

(2)如果使用的是RHEL6或RHEL7,但RHEL中自带的Tomcat不符合要求,如版本较低,那么请购买订阅并使用JWS 5.2以获取支持。

(3)如果使用的是RHEL8,想要获取支持,请购买订阅并使用JWS。


最后,附上JWS的产品生命支持周期:

图片


标签:tomcat,Tomcat,JWS,诸多,开源,RHEL,安全漏洞,红帽
来源: https://blog.51cto.com/u_15127570/2711335