CVE-2020-9484: Apache Tomcat Session 反序列化代碼執行漏洞的示例分析

CVE-2020-9484: Apache Tomcat Session 反序列化代碼執行漏洞的示例分析，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x00 漏洞背景

2020年05月21日， 360CERT監測發現 Apache 官方發布了 Apache Tomcat 遠程代碼執行 的風險通告，該漏洞編號為 CVE-2020-9484，官方對該漏洞評級：高危。

Apache Tomcat 是一個開放源代碼、運行servlet和JSP Web應用軟件的基于Java的Web應用軟件容器。

當Tomcat使用了自帶session同步功能時，使用不安全的配置（沒有使用EncryptInterceptor）會存在反序列化漏洞，攻擊者通過精心構造的數據包， 可以對使用了自帶session同步功能的Tomcat服務器進行攻擊。

對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產自查/自檢/預防工作，以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞進行評定

0x02 漏洞詳情

利用該漏洞需要滿足如下四個條件：

1. 攻擊者能夠控制服務器的文件的內容和名稱。

2. 服務器被配置為使用PersistenceManager和FileStore。

3. PersistenceManager配置了sessionAttributeValueClassNameFilter="null"(默認值，除非使用了SecurityManager)或者其他非常寬松的過濾器，攻擊者就能夠對提供的對象進行反序列化。

4. 攻擊者知道從FileStore使用的存儲位置到攻擊者所控制的文件的相對文件路徑。

0x03 影響版本

• Apache Tomcat : 10.0.0-M1 to 10.0.0-M4

• Apache Tomcat : 9.0.0.M1 to 9.0.34

• Apache Tomcat : 8.5.0 to 8.5.54

• Apache Tomcat : 7.0.0 to 7.0.103

0x04 修復建議

通用修補建議：

• 升級到 Apache Tomcat 10.0.0-M5 及以上版本

• 升級到 Apache Tomcat 9.0.35 及以上版本

• 升級到 Apache Tomcat 8.5.55 及以上版本

• 升級到 Apache Tomcat 7.0.104 及以上版本

臨時修補建議：

禁止使用Session持久化功能FileStore。

0x05 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪，發現Apache Tomcat在國內外均有廣泛使用，具體分布如下圖所示。

0x06 產品側解決方案

360城市級網絡安全監測服務

360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段，對該類 漏洞/事件 進行監測，請用戶聯系相關產品區域負責人獲取對應產品。

看完上述內容，你們掌握CVE-2020-9484: Apache Tomcat Session 反序列化代碼執行漏洞的示例分析的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！