更新时间:2022-07-20 15:46
漏洞背景
北京时间2020年05月20日,Apache官方发布了Apache Tomcat远程代码执行的风险通告,该漏洞编号为CVE-2020-9484。
Apache Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。
成功利用此漏洞需要同时满足以下4个条件:
- 攻击者能够控制服务器上文件的内容和文件名称。
- 服务器PersistenceManager配置中使用了FileStore。
- PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”,或者过滤器不够严格,导致允许攻击者提供反序列化数据的对象。
- 攻击者知道使用的FileStore存储位置到攻击者可控文件的相对路径。
漏洞影响范围
- Apache Tomcat 10.0.0-M1—10.0.0-M4
- Apache Tomcat 9.0.0.M1—9.0.34
- Apache Tomcat 8.5.0—8.5.54
- Apache Tomcat 7.0.0—7.0.103
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
代码执行
修复建议
- 升级新版本
- 不使用FileStore
