关于Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)的风险提示

发布者:信息化中心发布时间:2020-05-29浏览次数:283


Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对ServletJavaServer PageJSP)的支持。2020520日,Apache Tomcat官方发布通告,披露了一个通过持久化Session导致的反序列化代码执行漏洞(CVE-2020-9484)。

攻击者可能通过构造恶意请求,造成反序列化代码执行漏洞。

该漏洞利用需要同时满足以下4个条件:

 •攻击者可以控制服务器上的文件名和文件内容;

 •服务器上配置使用了PersistenceManagerFileStore

 •PersistenceManager配置了sessionAttributeValueClassNameFilter值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;

 •攻击者知道FileStore使用的存储位置到可控文件的相对路径。

漏洞利用条件较为苛刻,但为杜绝潜在的安全问题,建议Apache Tomcat用户及时升级至不受漏洞影响范围的版本。


漏洞影响范围:

Apache Tomcat 10.x <= 10.0.0-M4

Apache Tomcat 9.x <= 9.0.34

Apache Tomcat 8.x <= 8.5.54

Apache Tomcat 7.x <= 7.0.103


修复建议:

1. 禁止开启Session持久化功能FileStore

2. 升级Apache Tomcat至不受本次漏洞影响的版本。

参考链接:

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E