成都链安：Apache Tomcat 远程代码执行漏洞预警（CVE-2020-9484）

中国区块链新闻网讯，成都链安威胁情报系统预警，Apache Tomcat 远程代码执行存在漏洞，部分交易所仍然在使用此 web 服务器，黑客可利用此漏洞进行犯罪入侵，我们建议使用相关软件的交易所及时自查并进行修复。漏洞威胁：高。受影响版本：Apache Tomcat 10.0.0-M1 至 10.0.0-M1、Apache Tomcat 9.0.0.M1 至 9.0.34、Apache Tomcat 8.5.0 至 8.5.54、Apache Tomcat 7.0.0 至 7.0.103。漏洞描述：1) 攻击者可以通过此漏洞控制服务器以及计算机上的文件；2) 服务器将会被配置 FileStore 和 PersistenceManager；3) PersistenceManager 配置有 sessionAttributeValueClassNameFilter =「 null」（除非使用 SecurityManager，否则为默认值）或不严谨的过滤器，允许攻击者执行反序列化操作；4) 攻击者知道从 FileStore 使用的存储位置到攻击者可以控制的文件的相对文件路径；然后，使用特殊请求，攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。（攻击成功必须满足以上四个条件） 成都链安安全团队建议根据官方提供的修复方案进行修复，修复方案如下：Apache Tomcat 10.0.0-M1 至 10.0.0-M1 版本建议升级到 Apache Tomcat 10.0.0-M5 或更高版本；Apache Tomcat 9.0.0.M1 至 9.0.34 版本建议升级到 Apache Tomcat 9.0.35 或更高版本；Apache Tomcat 8.5.0 至 8.5.54 版本建议升级到 Apache Tomcat 8.5.55 或更高版本；Apache Tomcat 7.0.0 至 7.0.103 版本建议升级到 Apache Tomcat 7.0.104 或更高版本。用户也可以通过 sessionAttributeValueClassNameFilter 适当的值配置 PersistenceManager，以确保仅对应用程序提供的属性进行序列化和反序列化。