漏洞描述
Apache基金会发布安全通告修复了一个Tomcat的反序列化远程代码执行漏洞,如果Tomcat使用了session持久化功能,使用不安全的配置将导致攻击者可以发送恶意数据包造成远程代码执行.
成功利用此漏洞需要同时满足以下4个条件:
1.攻击者能够控制服务器上文件的内容和文件名称
2.服务器PersistenceManager配置中使用了FileStore
3.PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”,或者过滤器不够严格,导致允许攻击者提供反序列化数据的对象
4.攻击者知道使用的FileStore存储位置到攻击者可控文件的相对路径
CVE编号
CVE-2020-9484
漏洞威胁等级
由于该漏洞利用条件较为苛刻,亚信安全网络攻防实验室将其定为中危
影响范围
不受影响版本
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
漏洞验证
修复建议
1.升级Tomcat到如下版本
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
2.禁止使用Session持久化功能FileStore
时间轴
[1] 2020/05/20 Apache基金会发布安全通告
[0] 2020/05/21 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告
Reference