反馈已提交

网络繁忙

您正在浏览的是 FineBI6.0 帮助文档,点击跳转至: FineBI5.1帮助文档

Tomcat反序列化代码执行漏洞声明

  • 文档创建者:Leo.Tsai
  • 历史版本:2
  • 最近更新:Kevin-s 于 2020-10-22
  • 1. 概述

    1.1 漏洞信息

    安全公告编号
    危害评级影响版本
    CVE-2020-9484高危10.0.0-M1 ~ 10.0.0-M4
    9.0.0.M1 ~ 9.0.34
    8.5.0 ~ 8.5.54
    7.0.0 ~ 7.0.103

    1.2 漏洞描述

    当 Tomcat 使用了自带 Session 同步功能时,使用不安全的配置(没有使用 EncryptInterceptor)会存在反序列化漏洞。

    攻击者通过精心构造的数据包, 可以对使用了自带 Session 同步功能的 Tomcat 服务器进行攻击。

    1.3 漏洞影响

    FineReport 默认未配置该功能,用户需要确认 Tomcat 服务器是否配置了该功能。

    2. 解决方案

    2.1 通用修补建议

    • 升级到 Apache Tomcat 10.0.0-M5 及以上版本

    • 升级到 Apache Tomcat 9.0.35 及以上版本

    • 升级到 Apache Tomcat 8.5.55 及以上版本

    • 升级到 Apache Tomcat 7.0.104 及以上版本

    2.2 临时修补建议

    禁止使用Session持久化功能FileStore

    附件列表


    主题: 部署集成
    • 有帮助
    • 没帮助
    • 只是浏览
    中文(简体)

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭

    联系我们
    在线支持
    获取专业技术支持,快速帮助您解决问题
    工作日9:00-12:00,13:30-17:30在线
    页面反馈
    针对当前网页的建议、问题反馈
    售前咨询
    采购需求/获取报价/预约演示
    或拨打: 400-811-8890 转1
    qr
    热线电话
    咨询/故障救援热线:400-811-8890转2
    总裁办24H投诉:17312781526
    提交页面反馈
    仅适用于当前网页的意见收集,帆软产品问题请在 问答板块提问前往服务平台 获取技术支持