关于Apache Tomcat 拒绝服务高危漏洞(CVE-2020-13934&CVE-2020-13935)的预警如何处理

请问此漏洞是否会对CUBA产生影响?是否需要处理?

由于该Tomcat是CUBA Studio提供的,我们通过开发文档未找到相关更新操作步骤,可否提供升级tomcat的相关文档

相关信息如下:
CUBA Studio Version 6.7.1
Apache Tomcat Version 8.5.21
image
image

之前你提过类似问题:

参考之前讨论,如有问题,再跟帖讨论。

但是根据之前答复操作升级tomcat后run完进入主页出错
操作步骤如下:
1.下载tomcat9.0.37
2.解压至…/deploy/下(见图c1)
3.修改build.gradle中的tomcat配置(见图c2)
4.deploy
5.start
6.访问localhost:9080/app后页面报错(见图c3)c1 c2 c3

请查如上回复

看看tomcat启动的时候有报什么错误吗

  • 直接在 build.gradle 中修改 tomcat的 version 属性, 不用手动下载。
  • cuba 6.7 在开发环境不支持指定 9.x 的 tomcat ,你可以指定成 8.x 的最新版,试试
  • 注意,在修改了 tomcat 版本后,先执行 dropTomcat task,再执行 setupTomcat task
  • 有一件事不明白,为什么要在开发环境折腾 Tomcat 的版本? 安全问题只是在部署后需要注意,将 app部署到最新版 tocmat 即可。

1.build.gradle中没有version属性,是否增加一个?
image
2.我们机器没有网络,因此无法按照您提供的步骤自行下载。我尝试手工下载好8.x版本,放在develop文件夹下,再更改build.gradle文件tomcat路径,测试发现不能启动tomcat;
3.如何执行 dropTomcat task,再执行 setupTomcat task,在哪里执行?
4.我们需要先行在UAT环境进行测试,待测试无误才能部署在生产环境。我们开发环境同生产环境是一致的

开发环境没有网络?

是的,没有网络情况下有无其他升级方案?或者CUBA这边可否提供此项服务?

CUBA 最近提供了对网络受限环境的开发支持,参考这里:https://www.cuba-platform.cn/blog/development-in-isolated-network/
不过这个工具目前在咱们大陆使用还有问题,所以我们没有向社区公布此工具。开发团队正在处理在大陆的使用问题。

如果你们急需处理这个部署问题,可以订购我们的商业支持服务,我们会安排专人协助处理。

1.可否根据CUBA 6.7版本提供一个tomcat,然后我们手动替换到我们项目中,完成此升级?
2.如此方案可行,是否需要通过商业支持服务完成,预计完成时间是多久?

你好,

  • 对于超出框架范围的技术方案我们只提供有限的免费支持。免费支持仅限于论坛内的交流,不承诺响应时间。
  • 我们提供按时付费的商业支持,可通过这里购买: 订购商业支持。商业支持在大陆的收费标准是: 820元/小时,在此基础上我们可以根据具体情况提供折扣。建议的方式是一次列出所有要解决的问题,然后咱们双方议定一个总价。
  • 对于此问题,如果由我们来提供一个配置好的 tomcat ,是可行的,预计的处理时间是一到三个小时。
  • 目前建议的最佳方案是生产环境和开发环境分离, 在开发环境生成 war ,将war部署到生产环境。生产环境可以独立升级 tcomat 。 技术上来说这是一种标准方式,但不清楚你们为什么不能这样做。