前言
近日,由安全社區等情報,安全雲發現Tomcat出現兩個漏洞分別爲"Session持久化漏洞”及“Session同步化漏洞”,利用此漏洞可獲取系統權限,屬於高危漏洞。
漏洞詳情
Apache Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器。攻擊者可能可以構造惡意請求,造成反序列化代碼執行漏洞。
session持久化漏洞
受該漏洞影響的服務,滿足以下三個條件,即可通過上傳惡意的類來達到命令執行的目的
1.開啓了Tomcat session FileStore持久化。FileStore的持久化配置例: < Store className= "
org.apache.catalina.session.FileStore" directory=”./session" />
2.泄露了session的保存位置
3.配置了
sessionAttributeValueClassNameFilter= "null" (默認條件)session集羣同步
session集羣同步
滿足以下條件,即可通過發送特殊的連接包,從而導致命令執行
1. jdk版本太低,小於8u20或小於7u21
2.在server.xml配置的Cluster.Channel的address可以被訪問到
3. tomcat啓用了session同步,沒有配置EncryptInterceptor
受影響範圍
Tomcat版本處於以下範圍內將受影響:
<= 10.0.0-M4
<= 9.0.34
<= 8.5.54
<= 7.0.103
整體利用條件較爲苛刻,實際危害相對較低,爲徹底防止漏洞潛在風險,白帽匯安全研究院仍建議Apache Tomcat用戶修復漏洞。
修復建議
1. Tomcat升級至最新版本
2.升級jdk版本不低於8u20 7u21
3.配置session同步集羣的訪問地址爲內網,而非0.0.0.0
漏洞復現結果
目前 Vulfocus 中已經更新了 Tomcat-CVE-2020-9484 的靶場環境,可通過 Dockerhub 拉取鏡像,進行漏洞復現測試。