当前位置:首页  安全公告

关于Apache Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329)的提示

来源:网信办发布时间:2021-03-09访问次数:941

一、漏洞详情

Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。

近日,Apache Tomcat官方发布安全公告,披露了 Apache Tomcat Session 反序列化代码执行漏洞,该漏洞CVE编号:CVE-2021-25329。由于官方在CVE-2020-9484漏洞修复上存在不足,攻击者可能可以构造恶意请求,绕过CVE-2020-9484补丁,造成反序列化代码执行漏洞。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

该漏洞由于官方在CVE-2020-9484漏洞修复上存在不足,攻击者可能可以构造恶意请求,绕过CVE-2020-9484补丁,造成反序列化代码执行漏洞。如果使用了Tomcatsession持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。

成功利用此漏洞需要同时满足以下4个条件:

1、攻击者能够控制服务器上文件的内容和名称;

2、服务器PersistenceManager配置中使用了FileStore

3、服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilterNULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象;

4、攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

二、影响范围

Apache Tomcat 10.0.0-M1 - 10.0.0

Apache Tomcat 9.0.0.M1 - 9.0.41

Apache Tomcat 8.5.0 - 8.5.61

Apache Tomcat 7.0.0 - 7.0.107

三、修复建议

目前Apache Tomcat官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:


https://tomcat.apache.org/security-10.html


分享:

© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有

地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理

河海大学微门户

河海大学微门户

河海大学移动办公

河海大学移动办公

河海网信办微信公众号

河海网信办微信公众号