Apache Tomcatの脆弱性(CVE-2020-9484)の影響はありますか?
作成日:2020年6月8日 | 更新日:2020年6月8日
質問
Apache Tomcatのリモートコード実行可能な脆弱性(CVE-2020-9484)の影響はありますか?
回答
いいえ、ありません。Patch Manager Plusは、Apache Tomcatの脆弱性CVE-2020-9484の影響を受けません。詳細は、こちらのページ(Desktop Centralに関する英語ページ)をご覧ください。
CVE-2020-9484は、Apache Tomcat 8.5.55以下のバージョンにおいて、永続セッションマネージャーによって認証されていない第三者が任意のコードを実行可能であるというものです。
この脆弱性を使用するには、以下の条件を全て満たす必要がありますが、後述のPersistenceManagerを使用しないため、Patch Manager PlusはCVE-2020-9484の影響を受けません。また、Patch Manager Plusはローカルファイルインクルージョン攻撃に対しても脆弱性はありません。
- 悪意ある攻撃者が、サーバー上のファイル名、内容を把握し、編集できる
- Apache TomcatがFileStrageでPersistenceManagerを使用している
- PersistenceManagerにおいて、sessionAttributeValueClassNameFilter="null"またはオブジェクトのデシリアライズフィルター条件が十分に設定されていない
- FileStoreが使用するロケーションから、制御するファイルへの相対ファイルパスを攻撃者が知っている