【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

  • A+
所属分类:安全漏洞

2020年5月20日,监测到Apache Tomcat官方发布安全公告,披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484

【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

漏洞描述

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件:

1. 攻击者能够控制服务器上文件的内容和名称

2. 服务器PersistenceManager配置中使用了FileStore

3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象

4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻,实际危害相对较低,为彻底防止漏洞潜在风险,飓风安全仍建议Apache Tomcat用户修复漏洞。

【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

查看conf/context.xml文件或具体项目的server.xml文件中,是否存在以下<Manager>节点

【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

若当前版本在受影响范围内且在PersistenceManager配置中使用了FileStore,则可能存在安全风险。 

漏洞评级

CVE-2020-9484 中危


影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104


安全版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104


安全建议

1. 升级Apache Tomcat至安全版本

2. 禁止使用Session持久化功能FileStore


相关链接

https://tomcat.apache.org/security.html



本文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: