Apache Tomcat曝出严重远程代码执行漏洞,攻击者可轻易控制服务器,你的系统安全吗?
近期,Apache软件基金会曝光了一起严重的安全漏洞——CVE-2025-24859,这一漏洞在Apache Roller的多个版本中存在,其危害程度之高令人咋舌。Apache Roller作为一款广泛使用的开源博客系统,其漏洞的曝光无疑给众多用户敲响了警钟。今天,我们就来深入了解一下这一漏洞的详情,以及如何有效防范,确保我们的数据安全不受威胁。
美国时间2025年4月14日,Apache软件基金会发布公告,在低于6.1.5版本的Apache Roller中存在会话管理漏洞,漏洞评分为10分,危害极其严重。
Apache Roller是美国阿帕奇(Apache)基金会的一款基于Java的多用户开源博客系统,最初由Dave Johnson在2002年编写,之后在FreeRoller.net(现在的JRoller.com)上流行起来,后来被用于驱动Sun Microsystems公司的员工博客以及IBM DeveloperWorks博客。在此次披露的CVE-2025-24859漏洞中,在更改密码后,活动用户会话无法正确失效。当用户的密码由用户自己或管理员更改时,现有会话将保持活动状态和可用。这允许通过旧会话继续访问应用程序,即使在更改密码后也是如此,如果凭据泄露,则可能会启用未经授权的访问。山石网科应急响应中心提醒Apache Roller用户尽快采取安全措施阻止漏洞攻击。
CVE-2025-24859:最高严重程度 10分
低于 6.1.5 版本的 Apache Roller 中存在会话管理漏洞,即更改密码后,活动用户会话无法正确失效。当用户的密码由用户自己或管理员更改时,现有会话将保持活动状态和可用。这允许通过旧会话继续访问应用程序,即使在更改密码后也是如此,如果凭据泄露,则可能会启用未经授权的访问。 此问题会影响 Apache Roller 6.1.4 及以下版本。 该漏洞在Apache Roller 6.1.5 中通过实施集中式会话管理来修复,该管理在更改密码或禁用用户时正确使所有活动会话失效。
3.在两个页面中同时打开新用户界面,并且在一个页面中更改用户密码
4.发现在更改密码后,另一个页面的用户并不会登出,尝试在该界面创建新的weblog
5.创建完毕后,输入修改后的密码重新登录用户界面,发现新的weblog被创建,可以验证修改密码后,另一个页面的活动用户无法正确失效,仍然保持活动状态和可用。
在docker中搭建apache roller 6.1.0相关环境,随后在火狐浏览器中输入localhost:8080/roller进入roller主页面,具体如图1所示:
在roller主页面中点击create a user,输入相关信息后成功创建用户,具体操作如图2所示:
在火狐浏览器中,通过两个标签页同时打开新用户界面,在一个页面中进行修改密码操作,具体操作如图3-图5所示:
图3 用户主页
发现在更改密码后,另一个页面的用户并不会登出,尝试在该界面创建新的weblog,具体操作如图6-图7所示:
创建完毕后,输入修改后的密码重新登录用户界面,发现新的weblog被创建,可以验证修改密码后,另一个页面的活动用户无法正确失效,仍然保持活动状态和可用,具体操作如图8-图9所示:
1.增强会话监控:记录所有活跃会话的 IP、设备指纹、最后操作时间,检测异常会话(如密码修改后仍活跃的旧会话),触发二次认证。
2.控制会话空闲超时时长:通过tomcat的web.xml配置文件中的<session-timeout>来缩短会话空闲时长,并且启用HttpOnly和secure策略。
3.升级到官方修复版本:Apache Roller 6.1.5 及以上。
https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html
山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。
现阶段,山石网科掌握30项自主研发核心技术,申请560多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、安全服务、安全教育等九大类产品服务,50余个行业和场景的完整解决方案。
原文始发于微信公众号(山石网科安全技术研究院):Apache Roller高危漏洞(CVE-2025-24859)曝光,用户需立即采取行动!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4073080.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论