Tomcat CVE-2020-9484：哪个会话持久性管理器易受攻击？_Tomcat_Tomcat9

Tomcat CVE-2020-9484：哪个会话持久性管理器易受攻击？

tomcat

Tomcat CVE-2020-9484：哪个会话持久性管理器易受攻击？,tomcat,tomcat9,Tomcat,Tomcat9,我跌跌撞撞地穿过CVE-2020-9484（）其脆弱性咨询报告指出： ... b) the server is configured to use the PersistenceManager with a FileStore; and c) the PersistenceManager is configured with sessionAttributeValueClassNameFilter="null" (the default unless a

我跌跌撞撞地穿过CVE-2020-9484（）

其脆弱性咨询报告指出：

...
b) the server is configured to use the PersistenceManager with a
   FileStore; and
c) the PersistenceManager is configured with
   sessionAttributeValueClassNameFilter="null" (the default unless a
   SecurityManager is used) or a sufficiently lax filter to allow the
   attacker provided object to be deserialized; and

我的问题：哪个会话持久性管理器易受攻击（因为PersistenceManager通常指的是

org.apache.catalina.session.PersistentManager

）？

org.apache.catalina.session.StandardManager

或

org.apache.catalina.session.PersistentManager

，或两者兼而有之

StandardManager不受此安全漏洞的影响：它将所有会话存储在应用程序临时目录的单个文件中。如果有人对这个文件有写访问权，那么他可能有权访问整个Tomcat安装

使用

PersistentManager

使用

FileStore

时，情况有所不同：每个会话根据其

JSESSIONID

保存在单独的文件中。使用特制的

JSESSIONID

（可能是通过在其中插入

。/../

，我没有进行测试）可以指向文件系统中的任何文件（参见）