Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器�。�。�。该程序实现了对Servlet和JavaServer Page(JSP)的支持�。�。�。2020年5月20日�,�,,Apache Tomcat官方宣布通告�,�,,披露了一个通过长期化Session导致的反序列化代码执行误差(CVE-2020-9484)�。�。�。
攻击者可能通过结构恶意请求�,�,,造成反序列化代码执行误差�。�。�。
该误差使用需要同时知足以下4个条件�:
?攻击者可以控制服务器上的文件名和文件内容�;�;�;
?服务器上设置使用了PersistenceManager的FileStore�;�;�;
?PersistenceManager设置了sessionAttributeValueClassNameFilter值为“NULL”或者其他宽松的过滤器�,�,,使得攻击者可以提供反序列化工具�;�;�;
?攻击者知道FileStore使用的存储位置到可控文件的相对路径�。�。�。
误差使用条件较为苛刻�,�,,但为杜绝潜在的清静问题�,�,,建议Apache Tomcat用户实时升级至不受误差影响规模的版本�。�。�。
误差影响规模�:
Apache Tomcat 10.x <= 10.0.0-M4
Apache Tomcat 9.x <= 9.0.34
Apache Tomcat 8.x <= 8.5.54
Apache Tomcat 7.x <= 7.0.103
修复建议�:
1. 榨取开启Session长期化功效FileStore�;�;�;
2. 升级Apache Tomcat至不受本次误差影响的版本�。�。�。
参考链接�:
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
