本文由“东塔网络安全学院”总结归纳
CVE-2019-17564-Apache Dubbo反序列化漏洞
CVE-2020-1938-Apache Tomcat文件包含漏洞
CVE-2020-1948-Apache Dubbo反序列化漏洞
CVE-2020-1956-Apache Kylin远程命令执行漏洞
CVE-2020-9480-Apache Spark远程代码执行漏洞
CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
CVE-2020-9484-Apache Tomcat session持久化远程代码执行漏洞
CVE-2020-9498-Apache Guacamole RDP 远程代码执行漏洞
CVE-2020-11974、CVE-2020-13922 Apache DolphinScheduler远程代码执行漏洞
CVE-2020-11989-Apache Shiro身份验证绕过漏洞
CVE-2020-11991 Apache Cocoon XML外部实体注入漏洞
CVE-2020-11995-Apache Dubbo远程代码执行漏洞
CVE-2020-13920 Apache ActiveMQ 远程代码执行漏洞
CVE-2020-13921-Apache SkyWalking SQL注入漏洞
CVE-2020-13925-Apache Kylin 远程命令执行漏洞
CVE-2020-13933-Apache Shiro 权限绕过漏洞
CVE-2020-13948 Apache Superset 远程代码执行漏洞
1、CVE-2019-17564-Apache Dubbo反序列化漏洞
漏洞概述
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。若存在漏洞的Apache Dubbo启用了HTTP协议(支持多协议),则攻击者可以通过发送恶意反序列化数据实现远程代码执行。
影响范围
• 2.7.0 <= Apache Dubbo <= 2.7.4
• 2.6.0 <= Apache Dubbo <= 2.6.7
• Apache Dubbo = 2.5.x
修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。
2、CVE-2020-1938-Apache Tomcat文件包含漏洞
漏洞概述
Ghostcat (幽灵猫) 是由长亭科技安全研究人员发现的存在于Tomcat 中的安全漏洞,由于Tomcat AJP 协议设计上存在缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat 上所有webapp 目录下的任意文件,例如可以读取webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
详情分析可参考:https://www.guildhab.top/?p=2406
影响范围
• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x
poc&检测工具:
https://github.com/0nise/CVE-2020-1938
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
https://www.chaitin.cn/zh/ghostcat#online_test
https://github.com/chaitin/xray/releases
修复建议
更新到如下Tomcat 版本
Tomcat 分支 版本号
Tomcat 7 7.0.106
Tomcat 8 8.5.58
Tomcat 9 9.0.38
Apache Tomcat 6 已经停止维护,请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响。
参考链接
https://www.chaitin.cn/zh/ghostcat
3、CVE-2020-1948-Apache Dubbo反序列化漏洞
漏洞概述
Apache Dubbo是一种高性能的Java RPC框架。扩展存在于Apache Dubbo通过使用的反序列化工具hessian中,攻击者可能会通过发送恶意RPC请求来触发触发,此类RPC请求中通常会无法识别的服务名或方法名,以及一些恶意的参数负载。当恶意参数被反序列化时,达到代码执行的目的。
影响范围
2.7.0 <= Dubbo Version <= 2.7.62.6.0 <= Dubbo Version <= 2.6.7Dubbo 所有 2.5.x 版本(官方团队目前已不支持)
修复建议
升级 2.7.7 版本,并根据以下链接的方法进行参数校验
https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
更换协议以及反序列化方式。具体更换方法可参考:
http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
参考链接
https://www.anquanke.com/post/id/209251#h2-23