关于我们

【风险通告】Apache Tomcat 代码执行漏洞

发布时间:2020-05-21 13:44:59

2020年5月21日,金山云安全应急响应中心监测到Apache Tomcat官方发布安全公告,披露了一个通过持久化Session可能导致远程代码执行的漏洞。

 

漏洞编号

CVE-2020-9484

 

漏洞名称

Apache Tomcat Session 反序列化代码执行漏洞

 

漏洞等级

中危

 

漏洞描述

Apache Tomcat 10.0.0-M1至10.0.0-M4, 9.0.0.M1至9.0.34, 8.5.0至8.5.54, 7.0.0至7.0.103的版本如果配置不当,攻击者有可能构造恶意请求,造成反序列化代码执行漏洞。

 

影响版本

Apache Tomcat 10.0.0-M1 to 10.0.0-M4

Apache Tomcat 9.0.0.M1 to 9.0.34

Apache Tomcat 8.5.0 to 8.5.54

Apache Tomcat 7.0.0 to 7.0.103

 

利用该漏洞需要同时满足下列四个条件:

1.   攻击者能够控制服务器上文件的内容和名称

2.   服务器PersistenceManager配置中使用了FileStore

3.   服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象

4.   攻击者知道使用的FileStore存储位置到可控文件的相对文件路径

 

修复建议

升级Apache Tomcat到最新版本。官方下载链接:

https://tomcat.apache.org/

 

安全版本:

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

 

相关链接

https://tomcat.apache.org/security.html

 

北京金山云网络技术有限公司

2020/5/21


以上就是金山云为您带来的【风险通告】Apache Tomcat 代码执行漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

免费注册