2021年01月20日    星期三


   您现在的位置:>> 通知公告  
关于紧急处理持久化Session可能导致远程代码执行的漏洞CVE-2020-9484的通知

        2020年05月21日 
   

各部门:

5月20日,披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。

漏洞描述:

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件:

1.攻击者能够控制服务器上文件的内容和名称

2.服务器PersistenceManager配置中使用了FileStore

3.服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象

4.攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻,实际危害相对较低,为彻底防止漏洞潜在风险,阿里云应急响应中心仍建议Apache Tomcat用户修复漏洞。

漏洞评级:

CVE-2020-9484 中危

影响版本:

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

安全版本:

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

安全建议:

1. 升级Apache Tomcat至安全版本

2. 禁止使用Session持久化功能FileStore

相关链接:

https://tomcat.apache.org/security.html

 请各部门对建设、开发及使用的信息系统进行自查,如果使用Apache Tomcat以上版本的服务器需在三日内按安全建议进行整改,同时将整改报告发送到信息技术中心丁康健CRP邮箱。

 

信息技术中心

2020年5月21日

文章录入:哈尔滨职业技术学院 网络中心 

 
   

哈尔滨职业技术学院 版本所有 学院地址:哈尔滨市香坊区哈平路217号(338、郊5、81)

邮编:150081 联系电话:0451-86668947 E-mail:wlzx@hzjxy.net