一、概要

近日，華為云關注到業(yè)界有安全研究人員在GitHub上披露Apache Tomcat集群在特定情況下存在反序列化代碼執(zhí)行漏洞。當Apache Tomcat集群使用了自帶session同步功能，且沒有配置EncryptInterceptor加密時，攻擊者可以構(gòu)造惡意請求，造成反序列化代碼執(zhí)行漏洞。

華為云提醒使用Apache Tomcat的用戶及時安排自檢并做好安全加固。

參考鏈接：https://github.com/threedr3am/tomcat-cluster-session-sync-exp?spm=a2c4g.11174386.n2.4.61b91051FWOWf5

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

同時滿足以下條件的tomcat集群，漏洞可能被成功利用：

a) Tomcat集群啟用了自帶的session同步功能；

b) 沒有配置EncryptInterceptor加密；

四、漏洞處置

緩解措施包括：

1. Tomcat集群啟用了自帶的session同步功能，需要配置EncryptInterceptor對通信進行加密，使用參考：

http://tomcat.apache.org/tomcat-10.0-doc/config/cluster-interceptor.html#org.apache.catalina.tribes.group.interceptors.EncryptInterceptor_Attributes；

2. 確保Tomcat集群僅對可信網(wǎng)絡開放，避免惡意攻擊者從外部網(wǎng)絡利用此漏洞；

注：修復漏洞前請將資料備份，并進行充分測試。