【风险公告】Apache Tomcat 代码执行缝隙
2020-05-21 13:44:59
2020年5月21日�,234钱包安全应急响应中心监测到Apache Tomcat官方颁布安全布告�,披露了一个通过悠久化Session可能导致远程代码执行的缝隙�。
缝隙编号
CVE-2020-9484
缝隙名称
Apache Tomcat Session 反序列化代码执行缝隙
缝隙等级
中危
缝隙描述
Apache Tomcat 10.0.0-M1至10.0.0-M4, 9.0.0.M1至9.0.34, 8.5.0至8.5.54, 7.0.0至7.0.103的版本若是配置不当�,攻击者有可能机关恶意要求�,造成反序列化代码执行缝隙�。
影响版本
Apache Tomcat 10.0.0-M1 to 10.0.0-M4
Apache Tomcat 9.0.0.M1 to 9.0.34
Apache Tomcat 8.5.0 to 8.5.54
Apache Tomcat 7.0.0 to 7.0.103
利用该缝隙必要同时满足下列四个前提�:�:�:
1. 攻击者可能节礼服务器上文件的内容和名称
2. 服务器PersistenceManager配置中使用了FileStore
3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL�,或者使用了其他较为宽松的过滤器�,允许攻击者提供反序列化数据对象
4. 攻击者知晓使用的FileStore存储地位到可控文件的相对文件蹊径
修复建议
升级Apache Tomcat到最新版本�。官方下载链接�:�:�:
https://tomcat.apache.org/
安全版本�:�:�:
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
有关链接
https://tomcat.apache.org/security.html
北京234钱包网络技术有限公司
2020/5/21