安全公告/【CVE-2020-9484】
基本信息
漏洞名称:Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Tomcat
CVSS评分:7
发现日期:2024-03-29
漏洞描述
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 Tomcat 存在反序列化远程代码执行漏洞, a)攻击者能够控制服务器上文件的内容和名称; b)服务器PersistenceManager配置为FileStore; c)服务器PersistenceManager配置了sessionAttributeValueClassNameFilter =“ null”(除非使用SecurityManager,否则为默认值)或足够松散的过滤器,允许反序列化攻击者提供的对象; d)攻击者知道FileStore使用的存储位置到可以控制的文件的相对文件路径; 攻击者在同时满足以上4个条件时,可以发送一个恶意构造的请求,通过反序列化漏洞来触发远程代码执行。 该漏洞整体利用条件较为苛刻,实际危害相对较低。
修复方式
1.将 Tomcat 升级到 7.0.104、8.5.55、9.0.35、10.0.0-M5 及以上版本,下载地址:http://archive.apache.org/dist/tomcat/ 2.若漏洞的检测结果中存在漏洞修复版本,则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级,或者参照以下修复命令进行升级: CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果) 例:若漏洞的检测结果中主机系统为 Debian 8,软件包名称为 tomcat8,则漏洞修复命令为 sudo apt-get update && sudo apt-get install --only-upgrade -y tomcat8
漏洞判定
版本比对检测原理:检查当前系统中Tomcat版本是否在受影响的版本内|版本比对检测结果:- tomcat 当前安装版本:7.0.94 应用相关信息: - 安装目录:/home/weblogic/tomcat/apache-tomcat-7.0.94-wffj - 配置文件路径:/home/weblogic/tomcat/apache-tomcat-7.0.94-wffj/conf/server.xml - 进程PID:32134 - 二进制文件路径:/home/weblogic/jdk/jdk1.7.0_80/bin/java 该主机存在此漏洞
参考
CVE-2020-9484,CNVD-2020-34449,CWE-502,CNNVD-202005-1078