Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329)

最新推荐文章于 2024-01-18 18:32:51 发布
最新推荐文章于 2024-01-18 18:32:51 发布
阅读量3.6k 收藏
点赞数
分类专栏: java后台开发 文章标签: java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lgq2016/article/details/119784398
版权

漏洞概述请参考:http://blog.nsfocus.net/cve-2021-25329/

原先springboot使用内嵌tomcat版本为:8.5.40,有两种方式可以查看:

1.可以从IDEA的右侧maven查看(8.5.63为已经升级后的版本):

 2.启动服务会有日志(8.5.63为升级后的版本)

解决方法:

1.再pom.xml文件中添加tomcat版本

<properties>
    <tomcat.version>8.5.63</tomcat.version>
</properties>

添加完之后可能有很多报错,比如某些类所在的的包已经找不到。则进入下面第2步。

2.添加依赖

<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-core</artifactId>
    <version>${tomcat.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-juli</artifactId>
    <version>${tomcat.version}</version>
</dependency>

<!-- 版本8.5.63不存在-->
<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-logging-juli</artifactId>
    <version>7.0.109</version>
</dependency>

 

lgq2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
日常常见应用组件升级记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-18 1045
因近期安全扫描,发现java后端应用涉及多个引用组件版本过低,涉及潜在漏洞利用风险,特记录相关处理升级处理过程,以备后续确认;
漏洞预警】Apache Tomcat Session 序列代码执行漏洞修复方案
讯开技术孵化器博客
05-21 7146
Tomcat Session 漏洞漏洞描述影响版本安全版本安全建议操作步骤下载你要升级的Tomcat 10.0.0-M5版本:备份旧的tomcat(这部分非必须,根据自己情况而定)开始安装新版本禁止使用Session持久功能FileStore取消Tomcat Session持久功能 漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成序列代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件: 攻击者能够控制服
tomcat防止用户名和密码爆破的一种方法
简单就是美
06-20 3703
1.概述 对防止用户名和密码爆破方法有好多种,下面这种方法是把后台界面去掉。 2.具体方法,也是非常简单 1)进入到tomcat的安装目录的webapps目录,把此目录下的除项目以外的包和目录都删除即可。下面是目录功能的简单介绍: docs   tomcat的帮助文档 examples tomcat的实例 host-manage 客户端管理界面
Apache Tomcat Session 序列代码执行漏洞CVE-2021-2532)
qq_51577576的博客
01-17 1797
一、漏洞介绍 Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。 Tomcat Session 序列代码执行漏洞CVE编号:CVE-2021-25329。 如果使用了Tomcatsession持久功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。 成功利用此漏洞需要同时满足以下4个条件:1. 攻击者能够控制服务器上文件的内容和名称; 2. 服务器PersistenceManager配置中使用了FileStore; 3. 服务器Persis
序列漏洞原理_Apache Tomcat Session 序列远程代码执行漏洞
weixin_39690105的博客
12-01 187
点击蓝字关注我们漏洞信息漏洞名称:Apache Tomcat Session 序列远程代码执行漏洞发布日期:2020.05.21威胁类型:远程代码执行危险等级:高危漏洞ID:CVE-2020-9484受影响的版本:Apache Tomcat 10.0.0-M1—10.0.0-M4Apache Tomcat 9.0.0.M1—9.0.34Apache Tomcat 8.5.0—8.5....
Windows下tomcat漏洞CVE-2021-25122和CVE-2021-25329修复
star的博客
07-09 8024
漏洞信息如下: 使用的tomcat版本为8.5.60。 打开解决办法中对应版本的网址:https://tomcat.apache.org/security-8.html 可以看到8.5.63及以上版本修复了这两个漏洞: 解决办法:升级tomcat到8.5.63或以上版本(不推荐升级到9及以上版本,jdk还需要检查是否对应)本例升级到到tomcat8最版本8.5.69 升级方法: 1.升级旧版本到新版本(8.5.60升级到8.5.69) 官网下载地址:https://tomcat.a..
Tomcat Session(CVE-2020-9484)序列漏洞复现
热门推荐
qq_40898302的博客
04-20 1万+
一、漏洞介绍 北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在序列漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功...
银河麒麟服务器操作系统Tomcat Session 序列代码执行漏洞(CVE-2020-9484)修复补丁
03-14
亲测有效,可能还需要其他环境,可在我个人发布里看
银河麒麟服务器操作系统Tomcat Session 序列代码执行漏洞(CVE-2020-9484)修复补丁所需环境5
最新发布
03-14
银河麒麟服务器操作系统Tomcat Session 序列代码执行漏洞(CVE-2020-9484)修复补丁所需环境,服务器上有的不需要下
银河麒麟服务器操作系统Tomcat Session 序列代码执行漏洞(CVE-2020-9484)修复补丁所需环境4
03-14
银河麒麟服务器操作系统Tomcat Session 序列代码执行漏洞(CVE-2020-9484)修复补丁所需环境,服务器上有的不需要下
mysql中text类型字段与java中String类型变量的映射
lgq2016的博客
08-08 1万+
1.利用mybatis中查询数据时,表中有一个text类型的字段返回null,其实仔细观察sql定义文件(***Mapper.xml)便能发现是哪里出现的问题。 我们在上图中搜索ResultMapWithBLOBs,便定位到下图的位置。我们发现mybatis给我们提供selectByExampleWithBLOBs 方法可供使用。 ...
IDEA中generatorConfig.xml配置与生成
lgq2016的博客
07-25 6996
1.编写generatorConfig.xml文件,可放在main或者test的resources目录下。 2.点击上面功能栏运行按钮左边的小窗口,点击edit configurations,在maven中点击+,填写如下界面。 其中工作目录为generatorConfig.xml所在的子工程目录,命令行命令根据环境不同略有不同,最简单的命令是mvn mybatis-generator:g...
(牛客中级项目)七牛云上传图片发生异常com.qiniu.common.QiniuException
lgq2016的博客
04-10 6695
在七牛云上开了一个nowcoder空间准备上传图片,选择华北地区后发现在执行以下语句后会发生异常: Response res = uploadManager.put(file.getBytes(), fileName, getUpToken()); 解决方法(两个步骤): 1.在pom.xml文件中将qiniu-java-sdk版本由7.1.1改为7.2.7或其他较高版本: ...
在命令行窗口连接阿里云数据库
lgq2016的博客
07-25 2442
1.进入cmd窗口。 2.在命令行输入mysql连接命令:mysql -h xxxxxx.com -u username -p password 3.如同所示,连接成功。
google浏览器高版本 跨域第三方cookie(qlik)无法携带问题解决
lgq2016的博客
04-20 1752
报表门户网站多租户改造时,某个租户访问网站的域名属于外网(假设为:a.niu.com) 和集成的qlik报表服务域名不同(假设为:qlik.diao.com),这时候diao.com的cookie无法从当前站点a.niu.com携带到qlik.diao.com,这个问题目前常用的解决方案就是:第三方服务器设置cookie的属性:SameSite=None; Secure 即可。下面是samesite属性的简单介绍: SameSite 有3个值 1. Strict Strict最为严格,完全禁止第三方 Co
Apache Tomcat 安全漏洞(CVE-2021-25329)
07-13
CVE-2021-25329 是 Apache Tomcat 服务器的一个安全漏洞,它影响了 Tomcat 9.0.0.M1 到 9.0.42 版本。该漏洞可以导致远程攻击者能够通过精心构造的请求,绕过访问控制限制,访问受限资源。 为了修复这个安全漏洞,请确保您的 Apache Tomcat 服务器升级到最新的版本。Apache Tomcat 团队已经发布了修复该漏洞的补丁版本,您可以从官方网站下载并安装最新的 Tomcat 版本。 另外,为了保护您的服务器免受潜在的攻击,还可以考虑以下建议: 1. 及时更新:确保您的 Apache Tomcat 服务器及相关软件都及时更新到最新版本,以获取最新的安全修复和功能改进。 2. 强访问控制:审查和加强您的访问控制策略,限制对敏感资源的访问,并仅允许经过授权的用户或IP地址进行访问。 3. 配置安全性选项:根据最佳实践和安全建议,配置 Apache Tomcat 服务器的安全性选项,例如启用 SSL/TLS 加密、强密码策略等。 4. 安全审计和监控:定期进行安全审计和监控,及时检测和响应任何异常或可疑活动。 5. 安全意识培训:提高运维人员和开发人员的安全意识,教育他们关于安全最佳实践和常见攻击技术的知识。 请注意,以上建议仅供参考,具体的安全措施应根据您的具体环境和需求进行评估和实施。建议在升级或修改配置之前,先在测试环境中进行测试,确保没有不良影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值