成都鏈安威脅情報系統預警,Apache Tomcat遠端程式碼執行存在漏洞,部分交易所仍然在使用此web伺服器,駭客可利用此漏洞進行犯罪入侵,我們建議:使用相關軟體的交易所及時自查並進行修復。
漏洞威脅:高
受影響版本:
▷Apache Tomcat 10.0.0-M1 至 10.0.0-M1
▷Apache Tomcat 9.0.0.M1 至 9.0.34
▷Apache Tomcat 8.5.0 至 8.5.54
▷Apache Tomcat 7.0.0 至 7.0.103
漏洞描述:
1)攻擊者可以透過此漏洞控制伺服器以及計算機上的檔案;
2)伺服器將會被配置FileStore和PersistenceManager;
3)PersistenceManager配置有sessionAttributeValueClassNameFilter =“ null”(除非使用SecurityManager,否則為預設值)或不嚴謹的過濾器,允許攻擊者執行反序列化操作;
4)攻擊者知道從FileStore使用的儲存位置到攻擊者可以控制的檔案的相對檔案路徑;
◇ 然後,使用特殊請求,攻擊者將能夠在其控制下透過反序列化檔案來觸發遠端程式碼執行。(攻擊成功必須滿足以上四個條件)
成都鏈安安全團隊建議根據官方提供的修復方案進行修復,修復方案如下:
▷Apache Tomcat 10.0.0-M1 至 10.0.0-M1版本建議升級到Apache Tomcat 10.0.0-M5或更高版本;
▷Apache Tomcat 9.0.0.M1 至 9.0.34版本建議升級到Apache Tomcat 9.0.35或更高版本;
▷Apache Tomcat 8.5.0 至 8.5.54版本建議升級到Apache Tomcat 8.5.55或更高版本;
▷Apache Tomcat 7.0.0 至 7.0.103版本建議升級到Apache Tomcat 7.0.104或更高版本。
◇ 使用者也可以透過sessionAttributeValueClassNameFilter適當的值配置PersistenceManager,以確保僅對應用程式提供的屬性進行序列化和反序列化。