Apache Shiro 默认密钥致命令执行漏洞

最新推荐文章于 2024-03-06 08:24:55 发布
最新推荐文章于 2024-03-06 08:24:55 发布
阅读量5.1k 收藏 8
点赞数 1
分类专栏: 阿里云漏洞修复 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Loveme_CN/article/details/109773080
版权

Apache Shiro 默认密钥致命令执行漏洞


今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来为大家介绍一下Apache Shiro 默认密钥致命令执行漏洞的修复方法,有需要的小伙伴可以参考一下

1、 漏洞描述:

Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

2、漏洞特征:

远程代码执行
只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。

3、修复建议:

(1)、升级shiro至最新版本1.7.0并生成新的密钥替换。

(2)、使用官方秘钥生成方法:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

(3)、验证方法:Apache Shiro 默认密钥致命令执行漏洞验证工具

备注:若在配置里配置了默认密钥,则立即修改,并妥善保管该密钥。

4、修复过程

针对此次shiro版本升级过程中主要分为jar包升级修复RemberMe功能,如果网站在登录过程中设置了RemberMe的相关功能,需要针对秘钥生成方式和秘钥进行修改,如未使用到RemberMe的相关功能,则只需要更新项目的相关jar包即可

JAR包升级

<!--shiro核心包-->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.7.0</version>
</dependency>

<!--shiro整合web-->
<dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>1.7.0</version>
 </dependency>
 
 <!--shiro整合Spring-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

<!--升级shiro1.2.4及以上版本 需要单独引入encoder-->
<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder</artifactId>
    <version>1.2.3</version>
</dependency>

修复RemberMe功能

因项目未涉及到记住我相关功能,详情建议参考:https://www.cnblogs.com/loong-hon/p/10619616.html

Loveme_CN
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Shiro框架漏洞分析与复现
最新发布
qq_53058639的博客
03-06 680
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Apache Shiro 默认密钥命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2494
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Spring Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3516
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5182
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1110
使用shiro默认密钥的隐患
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
初始shiro
weixin_45750514的博客
10-12 573
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证(登录)、授权(角色,权限)、加密(pass加密)、会话管理、与Web 集成、缓存等。 package com.xiexin.shiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Incorre
第五章 Shiro编码/加密
rrz634171的专栏
12-16 848
第五章 编码/加密——《跟我学Shiro》 博客分类: 跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。   5.1 编码/解码  Shiro提供了base64和16
ShiroApache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5008
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
Spring Apache Shiro 默认密钥命令执行漏洞及解决方案
liqiang_8257的博客
04-08 4319
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同 漏洞检测工具 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 如图: OK,检测下漏洞: 这样,我们看到了,检测到了使用默认shiro密钥 解决方案: 每个项目的情况都可能不一样,所以有不同的解决办法。 现象: 使用的是springmvc,shiro1.2.4,spring 4.2.5 shiro默认的安全管理器使用了默认的shi
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 2976
Shiro1.7.1版本默认密钥漏洞
Shiro高版本默认密钥漏洞利用
12-10 6292
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
shiro漏洞
weixin_43873557的博客
02-06 3407
Shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 ➢ Shiro历史漏洞Shiro- - 550) Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 ➢ Shiro历史漏洞Shiro-
Apache Shiro修复
07-30
根据引用\[1\]和引用\[2\]的信息,Apache Shiro存在一个认证绕过漏洞(CVE-2022-32532)。受影响的版本包括Apache Shiro小于1.9.1和小于1.6.0的版本。官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。你可以在Apache Shiro的官方网站上找到最新版本的下载链接\[1\]。另外,引用\[3\]提到了一个解决方法,即添加encoder-1.2.2.jar。这可能是为了解决在运行过程中出现的java.lang.NoClassDefFoundError错误。所以,为了修复Apache Shiro的问题,你可以尝试添加encoder-1.2.2.jar。 #### 引用[.reference_title] - *1* [修复Apache Shiro身份认证绕过漏洞 (CVE-2022-32532)步骤注意事项](https://blog.csdn.net/qq_35393472/article/details/125542423)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞](https://blog.csdn.net/j3T9Z7H/article/details/108177487)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Java项目中修复Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)详细说明](https://blog.csdn.net/jlq_diligence/article/details/109790614)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值