暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / Apache Shiro 安全漏洞修复

Apache Shiro 安全漏洞修复

闵栋 2023-01-14
1729


是新朋友吗?记得点击下面名片,关注我哦




漏洞概述

1.1、安全漏洞 CVE-2021-41303

漏洞名称 :Shiro 权限绕过漏洞(CVE-2021-41303)

漏洞类型:未授权访问

漏洞描述:

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Apache Shiro存在权限绕过漏洞,当Shiro与Spring Boot组合使用时,远程攻击者可以发送特制的HTTP请求绕过认证,获取敏感权限 。

修复建议:

将 Apache Shrio 升级到 1.8.0 及以上版本,

下载地址:http://shiro.apache.org/download.html

修复影响:不需要重启

参考链接:

CWE-287:

https://cwe.mitre.org/data/definitions/287.html

CNNVD-202109-1230:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202109-1230https://shiro.apache.org/security-reports.html

漏洞扫描报告:

版本比对检测原理:检查当前系统中Shiro版本是否小于1.8.0|版本比对检测结果:- Shiro 当前安装版本:1.4.0 应用相关信息:

    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-lang-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-cache-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-event-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-core-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-hash-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-core-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-ogdl-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-cipher-1.4.0.jar
      - Shiro
        当前安装版本:1.4.0
        应用相关信息:
    - 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-core-1.4.0.jar
      该主机存在此漏洞


    1.2 安全漏洞 CVE-2022-40664

    漏洞名称:Shiro 身份认证绕过漏洞(CVE-2022-40664)

    漏洞类型:未授权访问

    漏洞描述:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Apache Shiro存在身份认证绕过漏洞,当Apache Shiro通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。

    修复建议:将 Apache Shrio 升级到 1.10.0 及以上版本,

    下载地址:http://shiro.apache.org/download.html

    修复影响:服务重启

    漏洞扫描报告:

    版本比对检测原理:检查当前系统中shiro-spring版本是否在受影响版本内|版本比对检测结果:

      shiro-spring
      当前安装版本:1.8.0
      应用相关信息:


      - 进程PID:66419
      - 应用路径:/data/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/lib/sentry/lib/shiro-spring-1.8.0.jar



      解决方案


      2.0、下载高版本jar包

      按照修复提示,建议升级将 Apache Shrio 升级到 1.10.0 及以上版本,

      下载地址:

      http://shiro.apache.org/download.html

      2.1、替换成高版本jar包,jar包清单如下:

        shiro-lang-1.10.1.jar
        shiro-web-1.10.1.jar
        shiro-core-1.10.1.jar
        shiro-config-core-1.10.1.jar
        shiro-spring-1.10.1.jar
        shiro-ehcache-1.10.1.jar
        shiro-event-1.10.1.jar
        shiro-cache-1.10.1.jar
        shiro-config-ogdl-1.10.1.jar
        shiro-crypto-hash-1.10.1.jar
        encoder-1.2.2.jar
        shiro-crypto-cipher-1.10.1.jar
        shiro-crypto-core-1.10.1.jar


        解决过程

        1、查找在运行的进程中是否有低版本shiro相关的

          jps -l

          备注:防止有遗漏

          2、查找本地文件应用安装路径下是否存在低版本shiro jar包

            find  -name 'shiro*'


            3、备份该低版本shiro jar文件

            #复制文件夹以及下面子文件到另外一个目录下

            参考下面命令:

              cp -r trilium/dump-db/ home




              4、替换高版本shiro jar文件

              参考下面命令:

                rm -f 1.log
                cp /trilium/2.log home/


                5、重启相关服务





                本公众号中,回复关键字“shiro”,获取shiro高版本jar包备用下载地址

















                apacheshirocloudera软件漏洞
                文章转载自闵栋,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

                评论