【風(fēng)險通告】Apache Tomcat 代碼執(zhí)行漏洞
2020-05-21 13:44:59
2020年5月21日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Tomcat官方發(fā)布安全公告��,披露了一個通過持久化Session可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的漏洞��。
漏洞編號
CVE-2020-9484
漏洞名稱
Apache Tomcat Session 反序列化代碼執(zhí)行漏洞
漏洞等級
中危
漏洞描述
Apache Tomcat 10.0.0-M1至10.0.0-M4, 9.0.0.M1至9.0.34, 8.5.0至8.5.54, 7.0.0至7.0.103的版本如果配置不當(dāng)��,攻擊者有可能構(gòu)造惡意請求����,造成反序列化代碼執(zhí)行漏洞���。
影響版本
Apache Tomcat 10.0.0-M1 to 10.0.0-M4
Apache Tomcat 9.0.0.M1 to 9.0.34
Apache Tomcat 8.5.0 to 8.5.54
Apache Tomcat 7.0.0 to 7.0.103
利用該漏洞需要同時滿足下列四個條件:
1. 攻擊者能夠控制服務(wù)器上文件的內(nèi)容和名稱
2. 服務(wù)器PersistenceManager配置中使用了FileStore
3. 服務(wù)器PersistenceManager配置中設(shè)置了sessionAttributeValueClassNameFilter為NULL,或者使用了其他較為寬松的過濾器���,允許攻擊者提供反序列化數(shù)據(jù)對象
4. 攻擊者知道使用的FileStore存儲位置到可控文件的相對文件路徑
修復(fù)建議
升級Apache Tomcat到最新版本�����。官方下載鏈接:
https://tomcat.apache.org/
安全版本:
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
相關(guān)鏈接
https://tomcat.apache.org/security.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/5/21