【高危安全通告】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484）

2020年5月20日，Apache Tomcat官方发布安全公告，披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。

ApacheTomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。

成功利用该漏洞需要同时满足下列四个条件：

1. 攻击者能够控制服务器上文件的内容和名称；

2. 服务器PersistenceManager配置中使用了FileStore；

3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL，或者使用了其他较为宽松的过滤器，允许攻击者提供反序列化数据对象；

4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻，实际危害相对较低，为彻底防止漏洞潜在风险，安全狗应急响应中心仍建议Apache Tomcat用户修复漏洞。

安全通告信息

漏洞名称	Apache Tomcat Sessions 反序列化代码执行漏洞
漏洞影响版本	Apache Tomcat 10.x < 10.0.0-M5 Apache Tomcat 9.x < 9.0.35 Apache Tomcat 8.x < 8.5.55 Apache Tomcat 7.x < 7.0.103
漏洞危害等级	中危
厂商是否已发布漏洞补丁	是
版本更新地址	https://tomcat.apache.org/download-10.cgi https://tomcat.apache.org/download-90.cgi https://tomcat.apache.org/download-80.cgi https://tomcat.apache.org/download-70.cgi
安全狗总预警期数	119
安全狗发布预警日期	2020年5月20日
安全狗更新预警日期	2020年5月21日
发布者	安全狗海靑实验室

处置措施

官方目前已经发布安全补丁，请参照公告内容进行安装安全更新补丁。

Apache Tomcat 10.0.0-M5：

https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9.0.35：

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.55：

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.104：

https://tomcat.apache.org/download-70.cgi

不方便升级的用户，可以采取如下临时措施缓解漏洞利用：

禁止使用Seesion持久化功能FileStore

vlambda博客
学习文章列表