高危安全通告Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

Posted 海青安全研究实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了高危安全通告Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)相关的知识,希望对你有一定的参考价值。


2020年5月20日 ,Apache Tomcat官方发布安全公告,披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。

ApacheTomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。
成功利用该漏洞需要同时满足下列四个条件:
1. 攻击者能够控制服务器上文件的内容和名称;
2. 服务器PersistenceManager配置中使用了FileStore;
3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象;
4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻,实际危害相对较低,为彻底防止漏洞潜在风险,安全狗应急响应中心仍建议Apache Tomcat用户修复漏洞。


安全通告信息

 

漏洞名称
 Apache Tomcat Sessions 反序列化代码执行漏洞
漏洞影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.103
漏洞危害等级 中危
厂商是否已发布漏洞补丁
版本更新地址

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-70.cgi
安全狗总预警期数 119
安全狗发布预警
日期		 2020年5月20日
安全狗更新预警
日期		 2020年5月21日
发布者 安全狗海靑实验室


处置措施


官方目前已经发布安全补丁,请参照公告内容进行安装安全更新补丁。

Apache Tomcat 10.0.0-M5:

https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9.0.35:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.55:

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.104:

https://tomcat.apache.org/download-70.cgi


不方便升级的用户,可以采取如下临时措施缓解漏洞利用:
禁止使用Seesion持久化功能FileStore


以上是关于高危安全通告Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)的主要内容,如果未能解决你的问题,请参考以下文章

高危安全通告SaltStack 多个高危漏洞

安全风险通告Apache Tomcat WebSocket拒绝服务漏洞EXP公开

安全风险通告SaltStack漏洞搭配可远程命令执行,SaltStack多个高危漏洞安全风险通告

网络安全预警通告Apache Struts2(S2-052) 远程代码执行漏洞

Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…

Apache已修复Apache Tomcat中的高危漏洞