99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

Apache官方發(fā)布安全通告修復(fù)了Apache Tomcat Session 反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-9484），如果使用了Tomcat的session持久化功能，不安全的配置將導(dǎo)致攻擊者可以發(fā)送惡意請(qǐng)求執(zhí)行任意代碼，建議相關(guān)用戶采取措施進(jìn)行防護(hù)。

成功利用此漏洞需要同時(shí)滿足以下4個(gè)條件：

1）攻擊者能夠控制服務(wù)器上文件的內(nèi)容和文件名稱；

2）服務(wù)器PersistenceManager配置中使用了FileStore；

3）PersistenceManager中的sessionAttributeValueClassNameFilter被配置為“null”，或者過濾器不夠嚴(yán)格，導(dǎo)致允許攻擊者提供反序列化數(shù)據(jù)的對(duì)象；

4）攻擊者知道使用的FileStore存儲(chǔ)位置到攻擊者可控文件的相對(duì)路徑。

漏洞編號(hào)

CVE-2020-9484

漏洞危害

攻擊者利用此漏洞，可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

Apache Tomcat 10.0.0-M1—10.0.0-M4

Apache Tomcat 9.0.0.M1—9.0.34

Apache Tomcat 8.5.0—8.5.54

Apache Tomcat 7.0.0—7.0.103

修復(fù)方案

1. 官方升級(jí)

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快升級(jí)版本進(jìn)行防護(hù)，官方下載鏈接：

2. 臨時(shí)防護(hù)措施

若相關(guān)用戶暫時(shí)無法進(jìn)行升級(jí)操作，也可采用以下措施進(jìn)行臨時(shí)緩解：

禁止使用Session持久化功能FileStore，或者單獨(dú)配置sessionAttributeValueClassNameFilte的值來確保只有特定屬性的對(duì)象可以被序列化與反序列化。

參考鏈接

1. https://tomcat.apache.org/security.html