CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞的示例分析

CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞的示例分析，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

0x00 漏洞背景

2020年05月21日， 360CERT监测发现 Apache 官方发布了 Apache Tomcat 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-9484，官方对该漏洞评级：高危。

Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。

当Tomcat使用了自带session同步功能时，使用不安全的配置（没有使用EncryptInterceptor）会存在反序列化漏洞，攻击者通过精心构造的数据包， 可以对使用了自带session同步功能的Tomcat服务器进行攻击。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查/自检/预防工作，以免遭受黑客攻击。

0x01 风险等级

360CERT对该漏洞进行评定

0x02 漏洞详情

利用该漏洞需要满足如下四个条件：

1. 攻击者能够控制服务器的文件的内容和名称。

2. 服务器被配置为使用PersistenceManager和FileStore。

3. PersistenceManager配置了sessionAttributeValueClassNameFilter="null"(默认值，除非使用了SecurityManager)或者其他非常宽松的过滤器，攻击者就能够对提供的对象进行反序列化。

4. 攻击者知道从FileStore使用的存储位置到攻击者所控制的文件的相对文件路径。

0x03 影响版本

• Apache Tomcat : 10.0.0-M1 to 10.0.0-M4

• Apache Tomcat : 9.0.0.M1 to 9.0.34

• Apache Tomcat : 8.5.0 to 8.5.54

• Apache Tomcat : 7.0.0 to 7.0.103

0x04 修复建议

通用修补建议：

• 升级到 Apache Tomcat 10.0.0-M5 及以上版本

• 升级到 Apache Tomcat 9.0.35 及以上版本

• 升级到 Apache Tomcat 8.5.55 及以上版本

• 升级到 Apache Tomcat 7.0.104 及以上版本

临时修补建议：

禁止使用Session持久化功能FileStore。

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现Apache Tomcat在国内外均有广泛使用，具体分布如下图所示。

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类 漏洞/事件 进行监测，请用户联系相关产品区域负责人获取对应产品。

看完上述内容，你们掌握CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞的示例分析的方法了吗？如果还想学到更多技能或想了解更多相关内容，欢迎关注亿速云行业资讯频道，感谢各位的阅读！