24 mayo, 2020

9VSA20-00222-01 CSIRT comparte actualizaciones liberadas por Apache para Apache Tomcat

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Apache referente a vulnerabilidad que afecta a Apache Tomcat. El presente informe incluye la respectiva medida de mitigación.

Vulnerabilidad

CVE-2020-9484

Enviando una petición especialmente diseñada al servidor Apache Tomcat, un atacante podría gatillar la ejecución de código remoto a través de la deserialización de un archivo bajo su control, comprometiendo completamente al sistema afectado.

Nota: Existen 4 condiciones determinantes para realizar el ataque:

  • El atacante debe poder controlar los contenidos y el nombre de un archivo en el servidor.
  • El servidor debe estar configurado para utilizar «PersistenceManager» con un «FileStore».
  • El parámetro «sessionAttributeValueClassNameFilter» en «PersistenceManager» está configurado con el valor «null» (el cual viene por defecto a menos de que se utilice «SecurityManager»), o con un filtro suficientemente flexible como para permitir la deserialización del objeto proporcionado por el atacante.
  • El atacante debe conocer la ruta relativa desde la zona de almacenamiento utilizada por «FileStore» hasta el archivo bajo su control.

Productos Afectados

Apache Tomcat desde la versión 10.0.0-M1 hasta la 10.0.0-M4.

Apache Tomcat desde la versión 9.0.0.M1 hasta la 9.0.34.

Apache Tomcat desde la versión 8.5.0 hasta la 8.5.54.

Apache Tomcat desde la versión 7.0.0 hasta la 7.0.103.

Mitigación

Actualizar a una de las siguientes versiones: 7.0.104, 8.5.55, 9.0.35, 10.0.0-M5 o posterior.

De forma alternativa, los usuarios pueden configurar un valor apropiado para el parámetro «sessionAttributeValueClassNameFilter», para asegurar que solo atributos entregados por la aplicación sean serializados y deserializados.

Enlaces

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40<announce.tomcat.apache.org>

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00222-01

9VSA20-00222-01 CSIRT comparte actualizaciones liberadas por Apache para Apache Tomcat