Apache Tomcat Session 反序列化代码执行漏洞

网络安全 李胜利 2020-05-24 02:19 41 0 1

基础信息

漏洞等级:高危

CVE:CVE-2020-9484

CNNVD:暂无

披露来源:斗象能力中心

披露时间:暂无

CVSS:暂无

CNVD:暂无

其他编号:暂无

披露链接:暂无最近更新时间:2020-05-21 18:42:43

详细信息

漏洞信息

  Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的

  根据Tomcat 2020年05月21日, Apache 官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484,官方对该漏洞评级:高危

漏洞危害

  经斗象安全应急响应团队分析,当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。

影响范围

  Apache Tomcat : 10.0.0-M1 to 10.0.0-M4

  Apache Tomcat : 9.0.0.M1 to 9.0.34

  Apache Tomcat : 8.5.0 to 8.5.54

  Apache Tomcat : 7.0.0 to 7.0.103

修复方案

  升级到 Apache Tomcat 10.0.0-M5 及以上版本

  升级到 Apache Tomcat 9.0.35 及以上版本

  升级到 Apache Tomcat 8.5.55 及以上版本

  升级到 Apache Tomcat 7.0.104 及以上版本


评论区

精彩评论

站内搜索

Music