一、漏洞描述
Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
该漏洞利用条件较为复杂,需同时满足以下四个条件:
(1)应用程序启用了 DefaultServlet 写入功能,该功能默认关闭。
(2)应用支持了 partial PUT 请求,能够将恶意的序列化数据写入到会话文件中,该功能默认开启。
(3)应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置,需要额外配置。
(4)应用中包含一个存在反序列化漏洞的库,比如存在于类路径下的 commons-collections,此条件取决于业务实现是否依赖存在反序列化利用链的库。
综上所述,该漏洞实际利用难度较高,可酌情处置。
二、漏洞风险等级
漏洞威胁等级:高危
三、影响范围
11.0.0-M1 <= Apache Tomcat <= 11.0.2
10.1.0-M1 <= Apache Tomcat <= 10.1.34
9.0.0.M1 <= Apache Tomcat <= 9.0.98
四、修复建议
1、若启用了 DefaultServlet,请不要将初始参数 readonly 设置为 false(该值默认为true)。
2、目前官方已发布安全更新,建议用户尽快升级至最新版本:
官方补丁下载地址:
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
参考链接:
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
