前言
近日,由安全社区等情报,安全云发现Tomcat出现两个漏洞分别为"Session持久化漏洞”及“Session同步化漏洞”,利用此漏洞可获取系统权限,属于高危漏洞。
漏洞详情
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。
session持久化漏洞
受该漏洞影响的服务,满足以下三个条件,即可通过上传恶意的类来达到命令执行的目的
1.开启了Tomcat session FileStore持久化。FileStore的持久化配置例: < Store className= "
org.apache.catalina.session.FileStore" directory=”./session" />
2.泄露了session的保存位置
3.配置了
sessionAttributeValueClassNameFilter= "null" (默认条件)session集群同步
session集群同步
满足以下条件,即可通过发送特殊的连接包,从而导致命令执行
1. jdk版本太低,小于8u20或小于7u21
2.在server.xml配置的Cluster.Channel的address可以被访问到
3. tomcat启用了session同步,没有配置EncryptInterceptor
受影响范围
Tomcat版本处于以下范围内将受影响:
<= 10.0.0-M4
<= 9.0.34
<= 8.5.54
<= 7.0.103
整体利用条件较为苛刻,实际危害相对较低,为彻底防止漏洞潜在风险,白帽汇安全研究院仍建议Apache Tomcat用户修复漏洞。
修复建议
1. Tomcat升级至最新版本
2.升级jdk版本不低于8u20 7u21
3.配置session同步集群的访问地址为内网,而非0.0.0.0
漏洞复现结果
目前 Vulfocus 中已经更新了 Tomcat-CVE-2020-9484 的靶场环境,可通过 Dockerhub 拉取镜像,进行漏洞复现测试。