禁止默認Servlet寫入權限

Question

oracle存在CVE。

CVE-2017-5664 可能性的安全約束規避

嚴重性的 - 重要

在Java Servlet規範的錯誤頁機制，當發生錯誤，並且被配置一個錯誤頁面，該原始請求和響應需要傳送到錯誤頁面。

如果錯誤頁面是靜態的，那麼期望的行爲是提供內容文件，就好像它正在處理GET一樣，而不管實際的HTTP方法如何。 Tomcat的默認servlet沒有這樣做。根據原始請求，如果默認servlet允許寫入，則可能會出現意想不到的結果，如替換或刪除自定義錯誤頁面。

我的問題： （a）我在哪裏可以檢查現有的默認servlet是否允許寫入？ （b）我在哪裏可以不允許默認的servlet寫入？

Answer 1

對於Tomcat 7其readOnly這裏描述的標誌https://tomcat.apache.org/tomcat-7.0-doc/default-servlet.html