TomcatPUT的文件上传漏洞(CVE-2017-12615)

Tomcat PUT文件上传漏洞(CVE-2017-12615)是由于Tomcat服务器未正确配置，导致允许用户通过HTTP PUT方法上传文件到服务器，可能导致敏感数据泄露或服务器接管。

解决方法：

1. 升级Tomcat到不受影响的版本。对于Apache Tomcat 9.x，安全性得到了改善，建议使用9.0.13或更高版本。对于Apache Tomcat 8.x，建议使用8.5.34或更高版本。对于Apache Tomcat 7.x，建议使用7.0.90或更高版本。

2. 如果不能升级Tomcat，可以通过配置conf/web.xml禁用PUT方法：

   找到 <servlet> 标签内的 <servlet-mapping> 标签，修改或添加 <security-constraint> 标签，禁止PUT和DELETE方法：

   
   
   
   <security-constraint>
       <web-resource-collection>
           <url-pattern>/*</url-pattern>
           <http-method>PUT</http-method>
           <http-method>DELETE</http-method>
       </web-resource-collection>
       <auth-constraint />
   </security-constraint>

   然后，确保 <auth-constraint> 指定了适当的角色或者用户，或者是空的，表示这是一个限制性条件。

3. 另外，可以通过配置Context的antiResourceLockingAndMVCC为true来禁用PUT方法。
4. 确保Tomcat运行在受限制的账户下，如tomcat用户，并且限制该用户权限，不要授予过高权限。
5. 如果不需要通过HTTP PUT方法进行文件上传，可以从应用中移除相关的功能，减少攻击面。
6. 定期检查和监控服务器，确保未来出现任何新的漏洞可以及时采取措施。