反序列化漏洞原理_Apache Tomcat Session 反序列化远程代码执行漏洞

最新推荐文章于 2023-12-07 22:11:54 发布
最新推荐文章于 2023-12-07 22:11:54 发布
阅读量207 收藏
点赞数
文章标签: 反序列化漏洞原理
d898cc6b69a39417807698449e46b190.gif

击蓝字关注我们

漏洞信息

漏洞名称:Apache Tomcat Session 反序列化远程代码执行漏洞

发布日期:2020.05.21

威胁类型:远程代码执行

危险等级高危

漏洞ID:CVE-2020-9484

受影响的版本

Apache Tomcat 10.0.0-M1—10.0.0-M4

Apache Tomcat 9.0.0.M1—9.0.34

Apache Tomcat 8.5.0—8.5.54

Apache Tomcat 7.0.0—7.0.103

漏洞描述

Apache官方发布安全通告修复了Apache Tomcat Session 反序列化远程代码执行漏洞(CVE-2020-9484),如果使用了Tomcat的session持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码,建议相关用户采取措施进行防护。

成功利用此漏洞需要同时满足以下4个条件:

1)攻击者能够控制服务器上文件的内容和文件名称;

2)服务器PersistenceManager配置中使用了FileStore;

3)PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”,或者过滤器不够严格,导致允许攻击者提供反序列化数据的对象;

4)攻击者知道使用的FileStore存储位置到攻击者可控文件的相对路径。

参考链接:

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

修补建议 

①官方升级:

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

Apache Tomcat 10.0.0-M5:

https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9.0.35:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.55:

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.104:

https://tomcat.apache.org/download-70.cgi

②临时防护措施:

若相关用户暂时无法进行升级操作,也可采用以下措施进行临时缓解:

禁止使用Session持久化功能FileStore,或者单独配置sessionAttributeValueClassNameFilte的值来确保只有特定属性的对象可以被序列化与反序列化。

27cb476e19bbebee8689c583c4bfa25a.png

关注我们

了解更多信息安全资讯

weixin_39690105
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat反序列化漏洞(CVE-2016-8735)
谢公子的博客
09-23 6890
目录​​​​​​​ CVE-2016-8735 漏洞复现 漏洞修复: CVE-2016-8735 漏洞描述: 该漏洞与之前Oracle发布的 mxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)相关,是由于使用了JmxRemoteLifecycleListener 的监听功能所导致。而在Oracle官方发布修复后,Tomcat未能及时修复更新而...
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
最新发布
weixin_56306210的博客
04-12 952
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
Apache Tomcat Session 反序列化代码执行漏洞(CVE-2021-2532)
qq_51577576的博客
01-17 1906
一、漏洞介绍 Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。 Tomcat Session 反序列化代码执行漏洞CVE编号:CVE-2021-25329。 如果使用了Tomcatsession持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。 成功利用此漏洞需要同时满足以下4个条件:1. 攻击者能够控制服务器上文件的内容和名称; 2. 服务器PersistenceManager配置中使用了FileStore; 3. 服务器Persis
Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329)
lgq2016的博客
08-18 3974
漏洞概述请参考:http://blog.nsfocus.net/cve-2021-25329/ 原先springboot使用内嵌tomcat版本为:8.5.40,有两种方式可以查看: 1.可以从IDEA的右侧maven查看(8.5.63为已经升级后的版本): 2.启动服务会有日志(8.5.63为升级后的版本) 解决方法: 1.再pom.xml文件中添加tomcat版本 <properties> <tomcat.version>8.5.63</to.
漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞修复方案
讯开技术孵化器博客
05-21 7402
Tomcat Session 漏洞漏洞描述影响版本安全版本安全建议操作步骤下载你要升级的Tomcat 10.0.0-M5版本:备份旧的tomcat(这部分非必须,根据自己情况而定)开始安装新版本禁止使用Session持久化功能FileStore取消Tomcat Session持久化功能 漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件: 攻击者能够控制服
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
不安全的反序列化_Apache Tomcat Session 反序列化远程代码漏洞安全通告
weixin_39801356的博客
12-01 78
一、漏洞编号CVE-2020-9484二、漏洞背景2020年05月20日,Apache官方发布了Apache Tomcat远程代码执行的风险通告,该漏洞编号为CVE-2020-9484,官方对该漏洞评级:高危。ApacheTomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全...
Tomcat反序列化漏洞
flyingzc的博客
07-19 1302
Tomcat反序列化漏洞 CVE-2020-9484 漏洞简介 当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。 影响版本 <= 9.0.34 <= 8.5.54 <= 7.0.103 漏洞分析 配置的className=“org.apache.catalina.session.FileStore” 查看FileStore的load方法,代码如下 public Sessio
Tomcat Session(CVE-2020-9484)反序列化漏洞复现
热门推荐
qq_40898302的博客
04-20 1万+
一、漏洞介绍 北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功...
CVE-2020-9484 tomcat session反序列化漏洞分析
蚁景网安学院
07-08 1148
本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介A...
java反序列化漏洞 tomcat_Tomcat Session(CVE-2020-9484)反序列化漏洞复现
weixin_42523670的博客
02-16 752
0x01简介Apache Tomcat最早是由Sun Microsystems开发的一个Servlet容器,在1999年被捐献给ASF(Apache Software Foundation),隶属于Jakarta项目,现在已经独立为一个顶级项目。Tomcat主要实现了Java EE中的Servlet、JSP规范,同时也提供HTTP服务,是市场上非常流行的Java Web容器。Tomcat 服务器是...
14-2 tomcat反序列化
weixin_43263566的博客
12-07 855
Apache Tomcat反序列化漏洞Apache Tomcat服务器中使用了自带session同步功能的配置,且没有使用Encrypt Interceptor加密拦截器的情况下。Apache Tomcat是一个基于Java的Web应用软件容器,用于运行servlet和JSP Web应用。当Tomcat使用了自带session同步功能时,并且未配置安全设置(缺少Encrypt Interceptor加密拦截器),存在反序列化漏洞
Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass
weixin_34260991的博客
09-20 1018
本文讲的是Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass, (注:图片来源于网络) Apache Tomcat 修复了2个严重级别的漏洞, 分别为:信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP...
不安全的反序列化_Apache Tomcat Session反序列化RCE漏洞安全通告(CVE20209484)
weixin_39534002的博客
11-27 346
漏洞综述漏洞背景Apache Tomcat是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,是目前比较流行的Web 应用服务器。近日,新华三安全攻防团队监测Apache tomcat官方发布通告修复了一个源于持久化Session远程代码执行漏洞(CVE-2020-9484),远程攻击者在特定条件下可能利用此漏洞执行任意代码漏洞原理当部署tomcat时配置启用了sess...
tomcat session漏洞反序列化详解
weixin_43104804的博客
06-02 654
1. 条件 1)攻击者可以控制服务器上的文件名/文件内容 2)tomcat context配置了persistencemanager的fileSotre 3) persistenceManager 配置了sessionAttributeValueClassNameFilter的值为NULL或者宽松过滤 4) 攻击者知道fileSotre存放位置 条件非常苛刻, 需要同时满足该4个条件。 2. 漏洞原理 利用tomcat创建的session,反序列后进行恶性攻击。 一般而言,session存在于服务器内存中
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值