Apache Tomcat Session 反序列化代码执行漏洞

基础信息

漏洞等级：高危

CVE：CVE-2020-9484

CNNVD：暂无

披露来源：斗象能力中心

披露时间：暂无

CVSS：暂无

CNVD：暂无

其他编号：暂无

披露链接：暂无最近更新时间：2020-05-21 18:42:43

详细信息

漏洞信息

　　Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展，但运行时它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的

　　根据Tomcat 2020年05月21日, Apache 官方发布了 Apache Tomcat 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-9484，官方对该漏洞评级：高危

漏洞危害

　　经斗象安全应急响应团队分析，当Tomcat使用了自带session同步功能时，使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞，攻击者通过精心构造的数据包， 可以对使用了自带session同步功能的Tomcat服务器进行攻击。

影响范围

　　Apache Tomcat : 10.0.0-M1 to 10.0.0-M4

　　Apache Tomcat : 9.0.0.M1 to 9.0.34

　　Apache Tomcat : 8.5.0 to 8.5.54

　　Apache Tomcat : 7.0.0 to 7.0.103

修复方案

　　升级到 Apache Tomcat 10.0.0-M5 及以上版本

　　升级到 Apache Tomcat 9.0.35 及以上版本

　　升级到 Apache Tomcat 8.5.55 及以上版本

　　升级到 Apache Tomcat 7.0.104 及以上版本