cnskylee的博客

根据 Apache 官方发布的声明，Apache官方将于2024年3月31日后正式结束对于Tomcat 8.5这个分支版本的技术支持

但是配上APR之后，并发的线程数量明显下降，从原来的300可能会马上下降到只有几十，新的请求会毫无阻塞的进来。为了解决这个问题，我们需要在服务器上下载和安装 Apr 库（包括apr、apr-iconv、apr-util），以及 Tomcat 自带的tomcat-native。重启Tomcat服务，在catalina.out文件中打印出下面的日志记录，说明Apr环境安装成功。备注：安装apr-util的时候，make如果报下面的错误，需要安装：expat-devel。【引用 Andy2019 优快云博客】

这两个最新版本修复了多个漏洞，统计信息如下表所示。有关漏洞的详细信息，请查阅官方相关文档（见：参考）。Apache Tomcat 官网发布了两个最新的版本包，分别是：8.5.94、9.0.81。

2022/01/24 基于官方最新发布包，更新 Apache Tomcat 本地定制化版本到 8.5.75、9.0.58。2022/03/01 基于官方最新发布包，更新 Apache Tomcat 本地定制化版本到 8.5.76、9.0.59。2022/04/07 基于官方最新发布包，更新 Apache Tomcat 本地定制化版本到 8.5.78、9.0.62。2022/06/13 基于官方最新发布包，更新 Apache Tomcat 本地定制化版本到 8.5.81、9.0.64。

官方原文对于该漏洞的描述（看着这描述，比较费力，这里就不做翻译了）When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1

Apache Tomcat使用Apache Commons FileUpload的打包重命名副本 提供 Jakarta Servlet 中定义的文件上传功能 规范。因此，Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞（DoS）2022年12月11日。

Apache Tomcat 是一款轻量级的WEB应用服务器，对于初学者来说，很容易学习和上手。Apache Tomcat 服务成功启动后，会开启两个默认端口，一个是用于http请求的8080端口，这个端口大家应该都非常熟悉了，可以该端口访问到部署在Tomcat服务器上的WEB应用。不过，另外一个默认端口，估计很多大家就可能并没怎么去关注过，这个端口就是8005。 下面我们就以官方最新发布的apache-tomcat-8.5.78版本为例，来看看服务启动后的端口。# s...

报错信息：22-Mar-2022 14:27:16.513 WARNING [RMI TCP Accept-0] sun.rmi.transport.tcp.TCPTransport$AcceptLoop.executeAcceptLoop RMI TCP Accept-0: accept loop for ServerSocket[addr=0.0.0.0/0.0.0.0,localport=45995] throwsjava.io.IOException: The server sockets

下图是Apache官方公布的Tomcat与JDK的版本兼容性关系一览表。目前官方仍在提供技术支持（漏洞修复、版本更新）的Release版本为8.5、9.0、10.0，其中Tomcat 8.5支持JDK1.7及后续版本，Tomcat 9.0、10.0支持JDK1.8及后续版本。另外，archived（归档的）、susperseded（废弃的）版本，即表示官方不再为该版本提供版本更新和漏洞修复技术支持，因此生产环境不建议再使用此类安装包。附：JDK1.6与Tomcat 8.5兼容性测...

漏洞CVE-ID：CVE-2022-23181漏洞风险等级：低（CVSS v2 Base Score: 4.4 | Impact Score: 6.4 | Exploitability Score: 3.4）漏洞说明（官方）：The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability that allowed a local attacker to perform actions with t

虽然，现在很多服务器都用的是Linux系统，但是还是有项目使用的服务器系统是Windows Server。所以，今天针对Windows Server上部署 Apache-tomcat 的技巧做一些分享。性能优化：优化脚本：catalina.bat在setlocal行下面添加下面的配置，配置效果如下图所示（JDK版本为1.8）：set JAVA_OPTS=-server -Xms2048M -Xmx2048M -XX:MetaspaceSize=1024m -XX:MaxMe...

为了增加Tomcat 访问日志的可读性，我们一般会选择修改默认的访问日志格式，将访问日志的记录格式修改为Json格式的。修改server.xml文件中的配置，如下（红色部分）： <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="access" suffix=".log" pattern="{&am...

根据Apache Tomcat官方安全报告，Apache Tomcat的多个版本存在因为内存泄漏而导致的拒绝服务的漏洞（CVE编号：CVE-2021-42340）。受影响的各个大版本：8.5.xx版本：8.5.60 到8.5.71（8.5.72 版本修复）9.0.xx版本：9.0.40 到9.0.53（9.0.54 版本修复）10.0.xx版本：10.0.0-M10 到10.0.11（10.0.12版本修复）建议升级到以下对应的最新版本：8.5.73 、9.0.56...

PSI Probe是一款开源的，专业用于Apache Tomcat服务器监控的插件，其最新的项目地址为：https://github.com/psi-probe/psi-probe一、环境说明Windows 7 x64 apache-tomcat-9.0.44 psi probe 3.5.1二、部署步骤1、JDK安装和配置 下载、解压并配置Java环境变量，我本地使用的是Oracle JDK 1.8.0_2812、Apache Tomcat安装和配置 2.1 ...

根据Apache Tomcat官方网站上的申明，Apache Tomcat 7.0.xxx将于2021年3月31日后正式结束官方技术支持，2021年6月30日后Apache Tomcat 7.0.xxx版本的下载页面将会被从官网上移除，Apache Tomcat 7.0.xxx最新发布版也将会被从镜像系统中移除。建议使用Apache Tomcat 7.0.xxx版本的用户，尽快升级到Apache Tomcat 8.5.64以及后续官方发布的最新版本。...

Apache Tomcat作为一款在互联网行业被普遍使用和运行的开源WEB应用服务器，很多系统运维或者实施工程师往往忽略了其安全和性能，下面就是我在工作中对Apache官方发布的Tomcat进行优化的点，然后进行二次打包，提供给现场新上线或者需要进行版本升级的项目使用。 一、安全优化删除Tomcat服务器webapps目录下的所有自带应用； 修改Tomcat服务器配置中的默认SHUTDOWN字符和端口； 修改Tomcat服务器配置中的默认HTTP端口； 注释AJP协...

测试环境说明：虚拟机配置：8G / 2CTomcat版本：8.5.61JDK版本：1.8.0_281JVM配置：-Xms4096m -Xmx4096m -XX:MetaspaceSize=1024m -XX:MaxMetaspaceSize=1024m线程池配置:minSpareThreads="200"　　maxThreads="500"8次性能测试结果对比（响应时间的平均值-ms 、吞吐量）：...