风险预警

Apache Tomcat Session 反序列化代码执行漏洞

发布时间:2020-05-26点击数:

  近日,Apache Tomcat 发布通告称修复了一个源于持久化Session 的远程代码执行漏洞(CVE-2020-9484)。要利用该漏洞,攻击者需要同时满足以下4 个条件:

1. 攻击者可以控制服务器上的文件名/文件内容;

2. 服务器上配置使用了PersistenceManager FileStore

3. PersistenceManager配置了sessionAttributeValueClassNameFilter 值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;

4. 攻击者知道FileStore 使用的存储位置到可控文件的相对路径。

攻击者在同时满足以上4 个条件时,可以发送一个恶意构造的请求,来造成反序列化代码执行漏洞。


受影响产品版本

· Apache Tomcat 10.x<10.0.0-M5

· Apache Tomcat 9.x<9.0.35

· Apache Tomcat 8.x<8.5.55

· Apache Tomcat 7.x<7.0.104



不受影响产品版本

· Apache Tomcat 10.x>=10.0.0-M5

· Apache Tomcat9.x>=9.0.35

· Apache Tomcat 8.x>=8.5.55

· Apache Tomcat 7.x>=7.0.104


解决方案

Apache Tomcat 官方已经发布新版本修复上述漏润,建议受影响用户尽快升级进行防护。不方便升级的用户, 还可以暂时禁用FileStore 功能, 或者单独配置sessionAttribute ValueClassNameFilte 的值来确保只有特定属性的对象可以被序列化/反序列化。



上一条: CVE-2020-0796 Windows SMBv3协议蠕虫级漏洞通告

下一条: 关于深信服 SSL VPN 设备存在高危漏洞的预警通报