CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
CVE-2020-9484是Apache Tomcat服务器在处理序列化会话时存在的反序列化漏洞。攻击者可以通过发送一个特制的序列化对象来利用这个漏洞执行任意代码。
解决方法:
- 升级到安全版本:更新到官方发布的修复了该漏洞的Tomcat版本,建议升级到9.0.33、8.5.50和8.0.63以上版本。
- 删除不必要的组件:移除webapps目录下的应用,或删除Tomcat的webapps目录下的所有内容。
- 设置Session Manager的序列化过滤器:在
context.xml中配置<Context>元素,添加<Valve>标签配置className为org.apache.catalina.valves.FastUnstackingServletFilter。 - 设置
SESSION_SERIALIZE_ACTIVATOR为空:在catalina.properties文件中设置tomcat.util.http.SessionProperties.SERIALIZE为空。
具体步骤和操作可参考Apache Tomcat官方安全公告和社区指引。
评论已关闭