99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

Apache Tomcat Session反序列化代碼執(zhí)行漏洞安全風險通告

發(fā)布日期：2021-3-2

?

漏洞描述

2021年3月2日，監(jiān)測到Apache Tomcat官方發(fā)布安全公告，披露了 CVE-2021-25329 Apache Tomcat Session反序列化代碼執(zhí)行漏洞。Apache Tomcat 是由Apache軟件基金會屬下Jakarta項目開發(fā)的Servlet容器。在CVE-2021-25329 Apache Tomcat Session 反序列化代碼執(zhí)行漏洞中，由于官方在CVE-2020-9484漏洞修復上存在不足，攻擊者可能可以構造惡意請求，繞過CVE-2020-9484補丁，造成反序列化代碼執(zhí)行漏洞。

漏洞編號

CVE-2021-25329

漏洞危害

攻擊者可能可以構造惡意請求，繞過CVE-2020-9484補丁，造成反序列化代碼執(zhí)行漏洞。成功利用該漏洞需要同時滿足下列四個條件：

1、攻擊者能夠控制服務器上文件的內容和名稱

2、服務器PersistenceManager配置中使用了FileStore

3、服務器PersistenceManager配置中設置了sessionAttributeValueClassNameFilter為NULL，或者使用了其他較為寬松的過濾器，允許攻擊者提供反序列化數據對象

4、攻擊者知道使用的FileStore存儲位置到可控文件的相對文件路徑。

漏洞等級

中危
受影響版本

Apache Tomcat 10.x < 10.0.2

Apache Tomcat 9.x < 9.0.43

Apache Tomcat 8.x < 8.5.63

Apache Tomcat 7.x < 7.0.108

修復方案

• 升級Apache Tomcat至安全版本

安全版本：

Apache Tomcat 10.x >= 10.0.2

Apache Tomcat 9.x >= 9.0.43

Apache Tomcat 8.x >= 8.5.63

Apache Tomcat 7.x >= 7.0.108

2、禁止使用Session持久化功能FileStore

參考鏈接

• https://tomcat.apache.org/security.html