更新時間:2020/06/02 08:07:54
發佈時間:2020/06/02 08:07:54
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
行政院技術服務中心於5月26日發布Apache Tomcat伺服器存在反序列化漏洞(CVE-2020-9484)公告[1][2],遠端攻擊者可對符合特定條件(如攻擊者能夠控制伺服器上檔案的內容和名稱,啟用Persistence Manager的File Store功能,且Persistence Manager的session Attribute Value Class Name Filter參數設為null,攻擊者知道從File Store使用的存儲位置到攻擊者可以控制檔案的相對路徑) [3]之目標設備發送特製請求,利用此漏洞進而執行任意程式碼。
NVD公告漏洞編號CVE-2020-9484[3]:
Base Score: 9.8 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
github漏洞利用說明[4]:
目前已有研究人員於github發布使用Kali Linux 2.0滲透測試工具,在Apache Tomcat伺服器7.0.61版本環境,產生相關payload驗證該產品漏洞。
影響平台[5]:
Apache Tomcat 10.0.0-M4(含)以前版本
Apache Tomcat 9.0.34(含)以前版本
Apache Tomcat 8.5.54(含)以前版本
Apache Tomcat 7.0.103(含)以前版本
因應對策or建議措施:
1.目前Apache Tomcat官方已針對此漏洞釋出更新程式,請評估後於官方網站[5]下載更新至以下版本:
Apache Tomcat 10.0.0-M5(含)以後版本
Apache Tomcat 9.0.35(含)以後版本
Apache Tomcat 8.5.55(含)以後版本
Apache Tomcat 7.0.104(含)以後版本
2.可以針對PersistenceManager中sessionAttributeValueClassNameFilter之值進行適當正規表達式設定[6],以確保只能對符合條件之應用程序屬性進行序列化和反序列化。
參考連結:
1.行政院技術服務中心公告
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1125
2. SingCERT公告
https://www.csa.gov.sg/singcert/alerts/al-2020-015
3.NVD
https://nvd.nist.gov/vuln/detail/CVE-2020-9484
4.github漏洞驗證
https://github.com/IdealDreamLast/CVE-2020-9484
5.Apache Tomcat公告
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html
https://tomcat.apache.org/security-7.html
6.Apache Tomcat參考建議
https://tomcat.apache.org/tomcat-7.0-doc/config/manager.html#Standard_Implementation
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202006-0006
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字: