1. 概述
1.1 漏洞信息
| 安全公告编号 | 危害评级 | 影响版本 |
|---|---|---|
| CVE-2020-9484 | 高危 | 10.0.0-M1 ~ 10.0.0-M4 |
| 9.0.0.M1 ~ 9.0.34 | ||
| 8.5.0 ~ 8.5.54 | ||
| 7.0.0 ~ 7.0.103 |
1.2 漏洞描述
当 Tomcat 使用了自带 session 同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞。
攻击者通过精心构造的数据包, 可以对使用了自带 session 同步功能的 Tomcat 服务器进行攻击。
1.3 漏洞影响
FineReport 默认未配置该功能,用户需要确认Tomcat服务器是否配置了该功能。
2. 解决方案
2.1 通用修补建议
升级到 Apache Tomcat 10.0.0-M5 及以上版本
升级到 Apache Tomcat 9.0.35 及以上版本
升级到 Apache Tomcat 8.5.55 及以上版本
升级到 Apache Tomcat 7.0.104 及以上版本
2.2 临时修补建议
禁止使用Session持久化功能FileStore。
