情資內容

行政院技術服務中心於5月26日發布Apache Tomcat伺服器存在反序列化漏洞(CVE-2020-9484)公告[1][2]，遠端攻擊者可對符合特定條件(如攻擊者能夠控制伺服器上檔案的內容和名稱，啟用Persistence Manager的File Store功能，且Persistence Manager的session Attribute Value Class Name Filter參數設為null，攻擊者知道從File Store使用的存儲位置到攻擊者可以控制檔案的相對路徑) [3]之目標設備發送特製請求，利用此漏洞進而執行任意程式碼。 NVD公告漏洞編號CVE-2020-9484[3]: Base Score: 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H github漏洞利用說明[4]: 目前已有研究人員於github發布使用Kali Linux 2.0滲透測試工具，在Apache Tomcat伺服器7.0.61版本環境，產生相關payload驗證該產品漏洞。 影響平台[5]: Apache Tomcat 10.0.0-M4(含)以前版本 Apache Tomcat 9.0.34(含)以前版本 Apache Tomcat 8.5.54(含)以前版本 Apache Tomcat 7.0.103(含)以前版本 因應對策or建議措施: 1.目前Apache Tomcat官方已針對此漏洞釋出更新程式，請評估後於官方網站[5]下載更新至以下版本： Apache Tomcat 10.0.0-M5(含)以後版本 Apache Tomcat 9.0.35(含)以後版本 Apache Tomcat 8.5.55(含)以後版本 Apache Tomcat 7.0.104(含)以後版本 2.可以針對PersistenceManager中sessionAttributeValueClassNameFilter之值進行適當正規表達式設定[6]，以確保只能對符合條件之應用程序屬性進行序列化和反序列化。 參考連結： 1.行政院技術服務中心公告 https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1125 2. SingCERT公告 https://www.csa.gov.sg/singcert/alerts/al-2020-015 3.NVD https://nvd.nist.gov/vuln/detail/CVE-2020-9484 4.github漏洞驗證 https://github.com/IdealDreamLast/CVE-2020-9484 5.Apache Tomcat公告 https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security-9.html https://tomcat.apache.org/security-8.html https://tomcat.apache.org/security-7.html 6.Apache Tomcat參考建議 https://tomcat.apache.org/tomcat-7.0-doc/config/manager.html#Standard_Implementation 建議措施： 參考資料： 影響平台：