不安全的反序列化_Apache Tomcat Session 反序列化远程代码漏洞安全通告

最新推荐文章于 2024-04-12 09:50:46 发布
最新推荐文章于 2024-04-12 09:50:46 发布
阅读量95 收藏
点赞数
文章标签: 不安全的反序列化

2d56fea50f8ecdde9f34dd3793fdf990.gif

一、漏洞编号

CVE-2020-9484

二、漏洞背景

2020年05月20日,Apache官方发布了Apache Tomcat远程代码执行的风险通告,该漏洞编号为CVE-2020-9484,官方对该漏洞评级:高危。

ApacheTomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。

当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。

对此,嘉诚安全建议广大用户及时安装最新补丁,避免引发漏洞相关的网络安全事件。

三、漏洞详情

利用该漏洞需要满足如下四个条件:

1.攻击者能够控制服务器的文件的内容和名称。

2.服务器被配置为使用PersistenceManager和FileStore。

3.PersistenceManager配置了sessionAttributeValueClassNameFilter="null"(默认值,除非使用了SecurityManager)或者其他非常宽松的过滤器,攻击者就能够对提供的对象进行反序列化。

4.攻击者知道从FileStore使用的存储位置到攻击者所控制的文件的相对文件路径。

四、危害影响

受影响版本

ApacheTomcat 10.0.0-M1—10.0.0-M4

Apache Tomcat 9.0.0.M1—9.0.34

ApacheTomcat 8.5.0—8.5.54

Apache Tomcat 7.0.0—7.0.103

不受影响版本

ApacheTomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

ApacheTomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

五、修复建议

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

Apache Tomcat 10.0.0-M5:

https://tomcat.apache.org/download-10.cgi

ApacheTomcat 9.0.35:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.55:

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.104:

https://tomcat.apache.org/download-70.cgi

临时性修复建议:

禁止使用session持久化功能FileStore。

weixin_39801356
关注
14-2 tomcat反序列化
weixin_43263566的博客
12-07 896
Apache Tomcat反序列化漏洞Apache Tomcat服务器中使用了自带session同步功能的配置,且没有使用Encrypt Interceptor加密拦截器的情况下。Apache Tomcat是一个基于Java的Web应用软件容器,用于运行servlet和JSP Web应用。当Tomcat使用了自带session同步功能时,并且未配置安全设置(缺少Encrypt Interceptor加密拦截器),存在反序列化漏洞
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1662
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
最新发布
weixin_56306210的博客
04-12 1200
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
Apache Tomcat Session 反序列化代码执行漏洞(CVE-2021-2532)
qq_51577576的博客
01-17 1956
一、漏洞介绍 Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。 Tomcat Session 反序列化代码执行漏洞CVE编号:CVE-2021-25329。 如果使用了Tomcatsession持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。 成功利用此漏洞需要同时满足以下4个条件:1. 攻击者能够控制服务器上文件的内容和名称; 2. 服务器PersistenceManager配置中使用了FileStore; 3. 服务器Persis
反序列化漏洞原理_Apache Tomcat Session 反序列化远程代码执行漏洞
weixin_39690105的博客
12-01 229
点击蓝字关注我们漏洞信息漏洞名称:Apache Tomcat Session 反序列化远程代码执行漏洞发布日期:2020.05.21威胁类型:远程代码执行危险等级:高危漏洞ID:CVE-2020-9484受影响的版本:Apache Tomcat 10.0.0-M1—10.0.0-M4Apache Tomcat 9.0.0.M1—9.0.34Apache Tomcat 8.5.0—8.5....
Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329)
lgq2016的博客
08-18 4098
漏洞概述请参考:http://blog.nsfocus.net/cve-2021-25329/ 原先springboot使用内嵌tomcat版本为:8.5.40,有两种方式可以查看: 1.可以从IDEA的右侧maven查看(8.5.63为已经升级后的版本): 2.启动服务会有日志(8.5.63为升级后的版本) 解决方法: 1.再pom.xml文件中添加tomcat版本 <properties> <tomcat.version>8.5.63</to.
CVE-2020-9484 Tomcat Session 反序列化复现
weixin_45260839的博客
07-01 1810
CVE-2020-9484 Tomcat Session 反序列化复现
Tomcat Session(CVE-2020-9484)反序列化
m0_48520508的博客
08-01 1139
0x01简介 Apache Tomcat最早是由Sun Microsystems开发的一个Servlet容器,在1999年被捐献给ASF(Apache Software Foundation),隶属于Jakarta项目,现在已经独立为一个顶级项目。Tomcat主要实现了Java EE中的Servlet、JSP规范,同时也提供HTTP服务,是市场上非常流行的Java Web容器。 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被
网络安全自学笔记05 - 网络协议基础与攻击
imphoon的博客
05-12 1528
internet control message protocol,控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户的数据传递起着重要的作用ICMP协议属于网络层协议,封装在传输层与网络层之间传输层提供了主机应用程序之间的端到端的服务数据传输之前必须先建立链接,数据传输完成之后,必须释放连接。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1889
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞修复方案
讯开技术孵化器博客
05-21 7454
Tomcat Session 漏洞漏洞描述影响版本安全版本安全建议操作步骤下载你要升级的Tomcat 10.0.0-M5版本:备份旧的tomcat(这部分非必须,根据自己情况而定)开始安装新版本禁止使用Session持久化功能FileStore取消Tomcat Session持久化功能 漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件: 攻击者能够控制服
Tomcat Session(CVE-2020-9484)反序列化漏洞复现
m0_67401545的博客
08-25 1620
北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。
CVE-2020-9484 tomcat session反序列化漏洞分析
蚁景网安学院
07-08 1180
本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介A...
java反序列化漏洞 tomcat_Tomcat Session(CVE-2020-9484)反序列化漏洞复现
weixin_42523670的博客
02-16 799
0x01简介Apache Tomcat最早是由Sun Microsystems开发的一个Servlet容器,在1999年被捐献给ASF(Apache Software Foundation),隶属于Jakarta项目,现在已经独立为一个顶级项目。Tomcat主要实现了Java EE中的Servlet、JSP规范,同时也提供HTTP服务,是市场上非常流行的Java Web容器。Tomcat 服务器是...
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞通告
爱国小白帽
05-22 3516
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年05月21日, 360CERT监测发现 Apache 官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484,官方对该漏洞评级:高危。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java
Tomcat反序列化漏洞(CVE-2016-8735)
谢公子的博客
09-23 7008
目录​​​​​​​ CVE-2016-8735 漏洞复现 漏洞修复: CVE-2016-8735 漏洞描述: 该漏洞与之前Oracle发布的 mxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)相关,是由于使用了JmxRemoteLifecycleListener 的监听功能所导致。而在Oracle官方发布修复后,Tomcat未能及时修复更新而...
漏洞预警】Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞修复方案
讯开技术孵化器博客
05-21 1948
Apache Tomcat Cluster 漏洞修复漏洞描述安全建议 漏洞描述 2020年5月21日,阿里云应急响应中心监测到某安全研究人员披露Apache Tomcat在一定条件下使用自带session同步功能时存在反序列化代码执行漏洞,并在GitHub上公布该漏洞远程命令执行可利用EXP程序,风险较大。 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。当Apache Tomcat集群使用了自带session同步功能,并且没有使用EncryptInter
(十五)不安全反序列化
weixin_43047908的博客
04-18 2976
目录什么是序列化?序列化与反序列化什么是不安全反序列化?不安全反序列化漏洞如何产生?不安全反序列化有何影响?如何利用不安全反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式操作序列化对象修改对象属性修改数据类型如何防止不安全反序列化漏洞 什么是序列化? 序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为顺序的字节流发送和接收。序列化数据使其更容易: 将复杂数据写入进程间内存,文件或数据库 例如,通过网络,在应用程序的不同组件之间或在API调用
Java安全:深入解析反序列化漏洞
然而,不恰当的反序列化处理可能导致严重的安全漏洞。这篇文章聚焦于Java反序列化安全的第二部分,讨论如何利用这些漏洞进行攻击。 首先,文章提到了Java反序列化漏洞的几个关键点。`readObject`和`writeObject`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值