预警背景描述
2020 年 5 月 20 日,Apache Tomcat 官方发布安全公告,披露 Apache Tomcat Session 存在反序列化代码执行漏洞(CVE-20209484)。 预警描述 Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目,作为目前比较流行的 Web 应用服务器,深受 Java 爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat 服务器是一个免费的
开放源代码的 Web 应用服务器,被普遍使用在轻量级 Web 应用服务的构架中。
漏洞危害
攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。
当同时满足下列四个条件时,才可成功利用该漏洞(漏洞利用环
境苛刻,实际危害较小):
1. 攻击者能够控制服务器上文件的内容和名称;
2. 服务器 PersistenceManager 配置中使用了 FileStore;
3. 服 务 器 PersistenceManager 配 置 中 设 置了
sessionAttributeValueClassNameFilter 为 NULL,或者使用
了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象;
4. 攻击者知道使用的 FileStore 存储位置到可控文件的相对文
件路径。
受影响范围
影响版本
Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104
安全版本
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
修复建议
1、铱迅安全服务团队提醒相关用户尽快升级至安全版本,避免
引发漏洞相关的网络安全事件。
2、如果无法升级可以考虑暂时禁止使用 Session 持久化功能
FileStore。
参考链接:https://tomcat.apache.org/security.html