Barry, The deserialization-vulnerability for RMI endpoints in your webapp can be mitigated using our library at https://github.com/Servoy/rmi-whitelist Add it to the tomcat system library and classes like the commons-collections can no longer be used in the serialisation attacks over RMI.
Rob 2016-03-11 2:07 GMT+01:00 林慶龍 Barry Lin <u0124...@digiwin.biz>: > Dears: > > These days, Everyone talks about the vulnerability in Tomcat, and we found > that we had the same problem with “deserialization vulnerability”. > > How can I fix deserialization vulnerability in tomcat? > > Thanks for your help! > > > > > > Best regard, > > Barry Lin > > 鼎捷 > (鼎新電腦股份有限公司、鼎誠資訊股份有限公司、鼎捷軟件股份有限公司及鼎捷軟件越南有限公司)將善保管您的個人資料,並於合法取得之前提下善意使用,據此本公司僅在營運範圍內之目的與您聯繫,包含鼎捷主辦或協辦之行銷活動、客戶服務、供應商聯繫等,非經由本公司上開目的下之合法授權,所寄發之資訊並不代表本公司 > 。本電子郵件及附件所載訊息均為保密資訊,受合約保護或依法不得洩漏。其內容僅供指定收件人按限定範圍或特殊目的使用。未經授權者收到此資訊者均無權閱讀、 > 使用、 > 複製、洩漏或散佈。若您因為誤傳而收到本郵件或者非本郵件之指定收件人,煩請即刻回覆郵件或並永久刪除此郵件及其附件和銷毀所有複印件。倘若有前述情形或信件誤遞至您的信箱或有相關問題,請透過下列方式聯繫更正;mail: > dsc...@digiwin.biz。謝謝您的合作! >
