CVE-2020-9484:哪个会话持久性管理器容易受到攻击?
CVE-2020-9484: Which session persistence manager is vulnerable?
我偶然发现了 CVE-2020-9484 (https://seclists.org/oss-sec/2020/q2/136)。
其漏洞公告指出:
...
b) the server is configured to use the PersistenceManager with a
FileStore; and
c) the PersistenceManager is configured with
sessionAttributeValueClassNameFilter="null" (the default unless a
SecurityManager is used) or a sufficiently lax filter to allow the
attacker provided object to be deserialized; and
我的问题:哪个会话持久性管理器容易受到攻击(因为 PersistenceManager 通常被称为 org.apache.catalina.session.PersistentManager)?
org.apache.catalina.session.StandardManager 或 org.apache.catalina.session.PersistentManager,或两者?
https://tomcat.apache.org/tomcat-9.0-doc/config/manager.html#Persistence_Across_Restarts
StandardManager 未被此安全漏洞解决:它将所有会话存储在应用程序临时目录的单个文件中。如果某人对该文件具有写入权限,则他可能可以访问整个 Tomcat 安装。
使用 PersistentManager 使用 FileStore 情况不同:根据其 JSESSIONID,每个会话都保存在单独的文件中。使用精心设计的 JSESSIONID(可能是通过在其中插入 ../../,我没有测试)可以指向文件系统中的任何文件(参见 patch)。
我偶然发现了 CVE-2020-9484 (https://seclists.org/oss-sec/2020/q2/136)。
其漏洞公告指出:
...
b) the server is configured to use the PersistenceManager with a
FileStore; and
c) the PersistenceManager is configured with
sessionAttributeValueClassNameFilter="null" (the default unless a
SecurityManager is used) or a sufficiently lax filter to allow the
attacker provided object to be deserialized; and
我的问题:哪个会话持久性管理器容易受到攻击(因为 PersistenceManager 通常被称为 org.apache.catalina.session.PersistentManager)?
org.apache.catalina.session.StandardManager 或 org.apache.catalina.session.PersistentManager,或两者?
https://tomcat.apache.org/tomcat-9.0-doc/config/manager.html#Persistence_Across_Restarts
StandardManager 未被此安全漏洞解决:它将所有会话存储在应用程序临时目录的单个文件中。如果某人对该文件具有写入权限,则他可能可以访问整个 Tomcat 安装。
使用 PersistentManager 使用 FileStore 情况不同:根据其 JSESSIONID,每个会话都保存在单独的文件中。使用精心设计的 JSESSIONID(可能是通过在其中插入 ../../,我没有测试)可以指向文件系统中的任何文件(参见 patch)。