Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。2020年5月20日,Apache Tomcat官方发布通告,披露了一个通过持久化Session导致的反序列化代码执行漏洞(CVE-2020-9484)。
攻击者可能通过构造恶意请求,造成反序列化代码执行漏洞。
该漏洞利用需要同时满足以下4个条件:
•攻击者可以控制服务器上的文件名和文件内容;
•服务器上配置使用了PersistenceManager的FileStore;
•PersistenceManager配置了sessionAttributeValueClassNameFilter值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;
•攻击者知道FileStore使用的存储位置到可控文件的相对路径。
漏洞利用条件较为苛刻,但为杜绝潜在的安全问题,建议Apache Tomcat用户及时升级至不受漏洞影响范围的版本。
漏洞影响范围:
Apache Tomcat 10.x <= 10.0.0-M4
Apache Tomcat 9.x <= 9.0.34
Apache Tomcat 8.x <= 8.5.54
Apache Tomcat 7.x <= 7.0.103
修复建议:
1. 禁止开启Session持久化功能FileStore;
2. 升级Apache Tomcat至不受本次漏洞影响的版本。
参考链接:
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E