摘要: Apache Tomcat远程代码执行漏洞预警(CVE-2020-9484)
漏洞威胁:高
受影响版本:
Apache Tomcat 10.0.0-M1 至 10.0.0-M1
Apache Tomcat 9.0.0.M1 至 9.0.34
Apache Tomcat 8.5.0 至 8.5.54
Apache Tomcat 7.0.0 至 7.0.103
漏洞描述:
1)攻击者可以通过此漏洞控制服务器以及计算机上的文件;
2)服务器将会被配置FileStore和PersistenceManager;
3)PersistenceManager配置有sessionAttributeValueClassNameFilter =“ ”(除非使用SecurityManager,否则为默认值)或不严谨的过滤器,允许攻击者执行反序列化操作;
4) 攻击者知道从FileStore使用的存储位置到攻击者可以控制的文件的相对文件路径;
◇ 然后,使用特殊请求,攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。(攻击成功必须满足以上四个条件)
成都链安安全团队建议根据官方提供的修复方案进行修复,修复方案如下:
Apache Tomcat 10.0.0-M1 至 10.0.0-M1版本建议升级到Apache Tomcat 10.0.0-M5或更高版本;
Apache Tomcat 9.0.0.M1 至 9.0.34版本建议升级到Apache Tomcat 9.0.35或更高版本;
Apache Tomcat 8.5.0 至 8.5.54版本建议升级到Apache Tomcat 8.5.55或更高版本;
Apache Tomcat 7.0.0 至 7.0.103版本建议升级到Apache Tomcat 7.0.104或更高版本。
◇ 用户也可以通过sessionAttributeValueClassNameFilter适当的值配置PersistenceManager,以确保仅对应用程序提供的属性进行序列化和反序列化。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理