预警Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞

释放双眼,带上耳机,听听看~!

2020年5月21日,本站安全专题监测到某安全研究人员披露Apache Tomcat在一定条件下使用自带session同步功能时存在反序列化代码执行漏洞,并在GitHub上公布该漏洞远程命令执行可利用EXP程序,风险较大。

漏洞描述

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。当Apache Tomcat集群使用了自带session同步功能,并且没有使用EncryptInterceptor,或者处于不可信的网络环境中,攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。目前网络上已披露相关利用代码,实际利用需要相关JDK版本支持以及Tomcat Session同步端点可访问。本站安全专题提醒Apache Tomcat用户尽快排查Cluster相关配置是否安全以防止漏洞攻击。

安全建议

漏洞由不安全配置造成,加强配置即可防范漏洞攻击:

1、若Tomcat启用了session同步功能,配置EncryptInterceptor对通信进行加密,使用参考:http://tomcat.apache.org/tomcat-10.0-doc/config/cluster-interceptor.html#org.apache.catalina.tribes.group.interceptors.EncryptInterceptor_Attributes

2、禁止Tomcat集群端点对不可信网络开放(只能防范外网攻击,内网依旧有风险)

不安全配置类似example:


1
2
3
4
5
6
7
8
9
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster">
        <Channel className="org.apache.catalina.tribes.group.GroupChannel">
        <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                        address="0.0.0.0"
                        port="5000"
                        selectorTimeout="100"
                        maxThreads="6"/>
        </Channel>
</Cluster>

安全云中心应急漏洞模块已支持对该漏洞一键检测

相关链接

https://github.com/threedr3am/tomcat-cluster-session-sync-exp

http://tomcat.apache.org/tomcat-10.0-doc/cluster-howto.html

http://tomcat.apache.org/tomcat-9.0-doc/cluster-howto.html

http://tomcat.apache.org/tomcat-8.5-doc/cluster-howto.html

http://tomcat.apache.org/tomcat-7.0-doc/cluster-howto.html

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2020.05.21

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警kube-proxy边界限制访问绕过漏洞

2020-7-10 17:33:25

安全漏洞

预警Citrix系列产品多个高危漏洞

2020-7-11 17:26:23

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索