您现在的位置是:首页 > 官方公告 > UCloud-202005-003:Apache Tomcat远程代码执行漏洞安全警告

UCloud-202005-003:Apache Tomcat远程代码执行漏洞安全警告

官方公告作者:U大使日期:2020-10-22点击:187
2020-05-21 18:09:05

发布时间  2020-05-21

更新时间  2020-05-21

漏洞等级  High

CVE编号  CVE-2020-9484

漏洞详情

当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。成功利用该漏洞需要同时满足下列四个条件:

1.攻击者能够控制服务器上文件的内容和名称

2.服务器PersistenceManager配置中使用了FileStore;

3.PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象;

4.攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

影响范围

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

修复方案

1. 升级至官方发布的修复版本,升级前建议做好快照备份措施。

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

2. 禁止使用Session持久化功能FileStore

参考链接

https://tomcat.apache.org/security.html

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

UCloud 云计算团队


下一篇       上一篇