一、概要

近日，華為云關(guān)注到Apache Tomcat官方發(fā)布安全公告，披露一處反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-9484）。在滿足特定條件下，攻擊者通過特制的請求來觸發(fā)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Apache Tomcat的用戶及時安排自檢并做好安全加固。

參考鏈接：https://www.openwall.com/lists/oss-security/2020/05/20/4

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M4

Apache Tomcat 9.0.0.M1 ~ 9.0.34

Apache Tomcat 8.5.0 ~ 8.5.54

Apache Tomcat 7.0.0 ~ 7.0.103

安全版本：

Apache Tomcat >= 10.0.0-M5

Apache Tomcat >= 9.0.35

Apache Tomcat >= 8.5.55

Apache Tomcat >= 7.0.104

四、漏洞排查及處置

在同時滿足以下條件時，漏洞可被成功利用：

a)攻擊者能夠控制服務(wù)器上文件的內(nèi)容和名稱；

b)服務(wù)器啟用了Tomcat會話復(fù)制功能，使用了會話持久性，并將會話保存到共享文件系統(tǒng)（PersistenceManager + FileStore）；

c) PersistenceManager配置有sessionAttributeValueClassNameFilter =“ null”（除非使用SecurityManager，否則為默認(rèn)值）或足夠松散的過濾器，允許攻擊者提供反序列化數(shù)據(jù)對象；

d) 攻擊者知道使用的FileStore存儲位置到可控文件的相對文件路徑。

目前，官方已在新版本中修復(fù)了該漏洞，請受影響的用戶升級到安全版本或配置為sessionAttributeValueClassNameFilter 帶有適當(dāng)值的PersistenceManager，以確保僅對應(yīng)用程序提供的屬性進(jìn)行序列化和反序列化。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。