服务公告

全部公告 > 安全公告 > Apache Tomcat集群反序列化代码执行漏洞

Apache Tomcat集群反序列化代码执行漏洞

2020-05-21

一、概要

近日,华为云关注到业界有安全研究人员在GitHub上披露Apache Tomcat集群在特定情况下存在反序列化代码执行漏洞。当Apache Tomcat集群使用了自带session同步功能,且没有配置EncryptInterceptor加密时,攻击者可以构造恶意请求,造成反序列化代码执行漏洞。

华为云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

参考链接:https://github.com/threedr3am/tomcat-cluster-session-sync-exp?spm=a2c4g.11174386.n2.4.61b91051FWOWf5

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

同时满足以下条件的tomcat集群,漏洞可能被成功利用:

a) Tomcat集群启用了自带的session同步功能;

b) 没有配置EncryptInterceptor加密;

四、漏洞处置

缓解措施包括:

1. Tomcat集群启用了自带的session同步功能,需要配置EncryptInterceptor对通信进行加密,使用参考:

http://tomcat.apache.org/tomcat-10.0-doc/config/cluster-interceptor.html#org.apache.catalina.tribes.group.interceptors.EncryptInterceptor_Attributes

2. 确保Tomcat集群仅对可信网络开放,避免恶意攻击者从外部网络利用此漏洞;

注:修复漏洞前请将资料备份,并进行充分测试。