Apache Tomcat Session反序列化代码执行漏洞安全风险通告

发布日期：2021-3-2

漏洞描述

2021年3月2日，监测到Apache Tomcat官方发布安全公告，披露了 CVE-2021-25329 Apache Tomcat Session反序列化代码执行漏洞。Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。在CVE-2021-25329 Apache Tomcat Session 反序列化代码执行漏洞中，由于官方在CVE-2020-9484漏洞修复上存在不足，攻击者可能可以构造恶意请求，绕过CVE-2020-9484补丁，造成反序列化代码执行漏洞。

漏洞编号

CVE-2021-25329

漏洞危害

攻击者可能可以构造恶意请求，绕过CVE-2020-9484补丁，造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件：

1、攻击者能够控制服务器上文件的内容和名称

2、服务器PersistenceManager配置中使用了FileStore

3、服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL，或者使用了其他较为宽松的过滤器，允许攻击者提供反序列化数据对象

4、攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

漏洞等级

中危
受影响版本

Apache Tomcat 10.x < 10.0.2

Apache Tomcat 9.x < 9.0.43

Apache Tomcat 8.x < 8.5.63

Apache Tomcat 7.x < 7.0.108

修复方案

• 升级Apache Tomcat至安全版本

安全版本：

Apache Tomcat 10.x >= 10.0.2

Apache Tomcat 9.x >= 9.0.43

Apache Tomcat 8.x >= 8.5.63

Apache Tomcat 7.x >= 7.0.108

2、禁止使用Session持久化功能FileStore

参考链接

• https://tomcat.apache.org/security.html