2020年5月20日，Apache Tomcat官方发布安全公告，披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。

概况

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件：

1. 攻击者能够控制服务器上文件的内容和名称

2. 服务器PersistenceManager配置中使用了FileStore

3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL，或者使用了其他较为宽松的过滤器，允许攻击者提供反序列化数据对象

4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻，实际危害相对较低，为彻底防止漏洞潜在风险，白帽汇安全研究院仍建议Apache Tomcat用户修复漏洞。

CVE编号

CVE-2020-9484

危害等级

高危

FOFA指纹

app="Apache-Tomcat"

漏洞影响范围

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有 2673114 个Tomcat服务对外开放。中国大陆使用数量最多，共有 949169 个，美国第二，共有 602103 个，巴西第三，共有 103842 个，德国第四，共有 95429 个，韩国第五，共有92790个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江省使用数量最多，共有 355252 个，北京市第二，共有 161704 个，广东省第三，共有 66519 个，上海市第四，共有 42762 个，江苏省第五，共有 36483 个

影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

不受影响版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

漏洞复现结果

目前 Vulfocus 中已经更新了 Tomcat-CVE-2020-9484 的靶场环境，可通过 Dockerhub 拉取镜像，进行漏洞复现测试。

安全建议

1. 升级Apache Tomcat至不受影响版本

2. 禁止使用Session持久化功能FileStore

参考

[1] https://help.aliyun.com/noticelist/articleid/1060296997.html

[2] https://tomcat.apache.org/security.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。