Apache Shiro 安全漏洞修复

敏动慎言的木鱼
279 阅读3分钟

Apache Shiro 安全漏洞修复

1、漏洞概述

1.1、安全漏洞 CVE-2021-41303

漏洞名称 :Shiro 权限绕过漏洞(CVE-2021-41303)

漏洞类型:未授权访问

漏洞描述:

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Apache Shiro存在权限绕过漏洞,当Shiro与Spring Boot组合使用时,远程攻击者可以发送特制的HTTP请求绕过认证,获取敏感权限
。

修复建议:

将 Apache Shrio 升级到 1.8.0 及以上版本,下载地址:shiro.apache.org/download.ht…

修复影响:不需要重启

参考链接:

CWE-287: cwe.mitre.org/data/defini… CNNVD-202109-1230: www.cnnvd.org.cn/web/xxk/ldx… shiro.apache.org/security-re…

漏洞扫描报告:

版本比对检测原理:检查当前系统中Shiro版本是否小于1.8.0|版本比对检测结果:- Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-lang-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-cache-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-event-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-core-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-hash-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-core-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-ogdl-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-cipher-1.4.0.jar

    • Shiro 当前安装版本:1.4.0 应用相关信息:

  • 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-core-1.4.0.jar 该主机存在此漏洞

1.2 安全漏洞 CVE-2022-40664

漏洞名称:Shiro 身份认证绕过漏洞(CVE-2022-40664)

漏洞类型:未授权访问

漏洞描述:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro存在身份认证绕过漏洞,当Apache Shiro通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。

修复建议:将 Apache Shrio 升级到 1.10.0 及以上版本,下载地址:shiro.apache.org/download.ht…

修复影响:服务重启

漏洞扫描报告:

版本比对检测原理:检查当前系统中shiro-spring版本是否在受影响版本内|版本比对检测结果:

  • shiro-spring 当前安装版本:1.8.0 应用相关信息:

    • 进程PID:66419
    • 应用路径:/data/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/lib/sentry/lib/shiro-spring-1.8.0.jar

2、解决方案

2.0、下载高版本jar包

按照修复提示,建议升级将 Apache Shrio 升级到 1.10.0 及以上版本,

下载地址:shiro.apache.org/download.ht…

备用下载地址:

链接:pan.baidu.com/s/1IGBmLrsT… 提取码:YYDS

2.1、替换成高版本jar包,jar包清单如下:

shiro-lang-1.10.1.jar shiro-web-1.10.1.jar shiro-core-1.10.1.jar shiro-config-core-1.10.1.jar shiro-spring-1.10.1.jar shiro-ehcache-1.10.1.jar shiro-event-1.10.1.jar shiro-cache-1.10.1.jar shiro-config-ogdl-1.10.1.jar shiro-crypto-hash-1.10.1.jar encoder-1.2.2.jar shiro-crypto-cipher-1.10.1.jar shiro-crypto-core-1.10.1.jar

2.2、解决过程

1、查找在运行的进程中是否有低版本shiro相关的

jps -l

2、查找本地文件应用安装路径下是否存在低版本shiro jar包

find / -name 'shiro*'

3、备份该低版本shiro jar文件

#复制文件夹以及下面子文件到另外一个目录下

cp -r /trilium/dump-db/ /home

#复制文件到另外一个目录下

cp docker-compose.yml /home

4、替换高版本shiro jar文件

rm -f 1.log
cp /trilium/2.log /home/

5、重启相关服务

原文链接:mp.weixin.qq.com/s?__biz=Mzg…

欢迎阅读更多其他文章

avatar
文章
阅读
粉丝