云计算产品是否涉及tomcat的CVE-2020-9484漏洞

        Apache 软件基金会发布安全通告，修复了一个通 过会话持久性进行RCE 的漏洞，此漏洞为CVE-2020-9484 的补丁绕过，如果使用了Tomcat 的session 持久化功能，不 安全的配置将导致攻击者可以发送恶意请求执行任意代码， 成功利用此漏洞需要同时满足以下4 个条件： 1）攻击者能够控制服务器上文件的内容和文件名称； 2）服务器PersistenceManager 配置中使用了FileStore； 3）PersistenceManager 中的sessionAttributeValueClassNa meFilter 被配置为“null”，或者过滤器不够严格，导致允许 攻击者提供反序列化数据的对象；4）攻击者知道使用的FileStore 存储位置到攻击者可控 文件的相对路径。 

        漏洞影响范围: 

Apache Tomcat 10.0.0-M1—10.0.0 

Apache Tomcat 9.0.0.M1—9.0.41 

Apache Tomcat 8.5.0—8.5.61

Apache Tomcat 7.0.0—7.0.107

1、CloudOS不涉及： PLAT和IAAS均没有用Apache tomcat，公共服务和PAAS用了tomcat但是没有使用session持久化功能；

2、CAS不涉及：CAS使用的tomcat版本不在漏洞影响范围内；

3、ONEstor不涉及：ONEStor没有使用tomcat；

4、UIS不涉及：UIS使用的tomcat版本不在漏洞影响范围内；

5、CMP不涉及：CMP没有使用tomcat；

6、VDI系列产品不涉及：

（1）、老的云桌面配套的cas使用的是8.0.14和8.0.32版本，不涉及。

（2）、云学院是基于云桌面实现的，不涉及。

（3）、云学堂最新的E0306P04版本底层Apache tomcat8版本是8.0.14，不涉及。

（4）、Workspace最新的E1007L01使用的tomcat8版本是8.0.52，不涉及。

7、数据库系列产品不涉及：有产品部分使用了Tomcat ，但是没有涉及session持久化功能；

8、大数据系列产品不涉及：有产品部分使用了Tomcat ，但是没有涉及session持久化功能；