鏈聞消息,成都鏈安威脅情報系統預警,Apache Tomcat 遠程代碼執行存在漏洞,部分交易所仍然在使用此 web 服務器,黑客可利用此漏洞進行犯罪入侵,我們建議使用相關軟件的交易所及時自查並進行修復。漏洞威脅:高。受影響版本:Apache Tomcat 10.0.0-M1 至 10.0.0-M1、Apache Tomcat 9.0.0.M1 至 9.0.34、Apache Tomcat 8.5.0 至 8.5.54、Apache Tomcat 7.0.0 至 7.0.103。漏洞描述:1) 攻擊者可以通過此漏洞控制服務器以及計算機上的文件;2) 服務器將會被配置 FileStore 和 PersistenceManager;3) PersistenceManager 配置有 sessionAttributeValueClassNameFilter =「 null」(除非使用 SecurityManager,否則爲默認值)或不嚴謹的過濾器,允許攻擊者執行反序列化操作;4) 攻擊者知道從 FileStore 使用的存儲位置到攻擊者可以控制的文件的相對文件路徑;然後,使用特殊請求,攻擊者將能夠在其控制下通過反序列化文件來觸發遠程代碼執行。(攻擊成功必須滿足以上四個條件)
成都鏈安安全團隊建議根據官方提供的修復方案進行修復,修復方案如下:Apache Tomcat 10.0.0-M1 至 10.0.0-M1 版本建議升級到 Apache Tomcat 10.0.0-M5 或更高版本;Apache Tomcat 9.0.0.M1 至 9.0.34 版本建議升級到 Apache Tomcat 9.0.35 或更高版本;Apache Tomcat 8.5.0 至 8.5.54 版本建議升級到 Apache Tomcat 8.5.55 或更高版本;Apache Tomcat 7.0.0 至 7.0.103 版本建議升級到 Apache Tomcat 7.0.104 或更高版本。用戶也可以通過 sessionAttributeValueClassNameFilter 適當的值配置 PersistenceManager,以確保僅對應用程序提供的屬性進行序列化和反序列化。