一、漏洞编号
CVE-2020-9484
二、漏洞背景
2020年05月20日,Apache官方发布了Apache Tomcat远程代码执行的风险通告,该漏洞编号为CVE-2020-9484,官方对该漏洞评级:高危。
ApacheTomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。
当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。
对此,嘉诚安全建议广大用户及时安装最新补丁,避免引发漏洞相关的网络安全事件。
三、漏洞详情
利用该漏洞需要满足如下四个条件:
1.攻击者能够控制服务器的文件的内容和名称。
2.服务器被配置为使用PersistenceManager和FileStore。
3.PersistenceManager配置了sessionAttributeValueClassNameFilter="null"(默认值,除非使用了SecurityManager)或者其他非常宽松的过滤器,攻击者就能够对提供的对象进行反序列化。
4.攻击者知道从FileStore使用的存储位置到攻击者所控制的文件的相对文件路径。
四、危害影响
受影响版本
ApacheTomcat 10.0.0-M1—10.0.0-M4
Apache Tomcat 9.0.0.M1—9.0.34
ApacheTomcat 8.5.0—8.5.54
Apache Tomcat 7.0.0—7.0.103
不受影响版本
ApacheTomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
ApacheTomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
五、修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:
Apache Tomcat 10.0.0-M5:
https://tomcat.apache.org/download-10.cgi
ApacheTomcat 9.0.35:
https://tomcat.apache.org/download-90.cgi
Apache Tomcat 8.5.55:
https://tomcat.apache.org/download-80.cgi
Apache Tomcat 7.0.104:
https://tomcat.apache.org/download-70.cgi
临时性修复建议:
禁止使用session持久化功能FileStore。