修复Apache Shiro身份认证绕过漏洞 (CVE-2022-32532)步骤注意事项

最新推荐文章于 2024-06-12 09:51:45 发布
最新推荐文章于 2024-06-12 09:51:45 发布
阅读量4k 收藏 1
点赞数 2
分类专栏: 后端_Java开发 文章标签: apache 安全
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_35393472/article/details/125542423
版权

注意事项在最下方

【紧急漏洞通告】
尊敬的用户,您好,近日发现以下最新漏洞威胁。
漏洞名称:Apache Shiro认证绕过漏洞(CVE-2022-32532)
漏洞描述:2022年6月29日,安全团队监测到一则Apache Shiro组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。
该漏洞是由于RegexRequestMatcher不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
影响范围:
Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地,主要分布在中国、美国、日本等国家,国内主要集中在广东、北京、上海等地。

目前受影响的Apache Shiro版本:
Apache Shiro < 1.9.1
官方解决方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
修复建议参考《Apache Shiro认证绕过漏洞 CVE-2022-32532响应通告》

已修复完成,修复步骤以及注意事项

  1. 将pom里面相关的shiro jar 包升级到1.9.1版本

参考:

	<shiro.version>1.9.1</shiro.version>
 <!-- apache shiro 相关jar -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-aspectj</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>${shiro.version}</version>
        </dependency>

  1. 升级过程中有些jar包maven可能自动下载不了
    提供阿里云仓库,直接搜jar包名,找到1.9.1的jar(耐心的找一下,都有),下载后本地导入
    仓库地址

  2. 导入后,启动项目,原来的业务功能可能由于升级后报错,或者找不到文件,这个时候可以考虑引入报错文件的jar包。

Java°遇上鲸鱼
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2022-32532 认证绕过漏洞分析
ALLEN'Blog
01-31 542
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
探索安全漏洞CVE-2022-1802, CVE-2022-1529, & CVE-2022-2200 对Firefox的影响测试
最新发布
gitblog_00013的博客
06-12 323
探索安全漏洞CVE-2022-1802, CVE-2022-1529, & CVE-2022-2200 对Firefox的影响测试 项目地址:https://gitcode.com/mistymntncop/CVE-2022-1802 在这个开源项目中,我们专注于研究和测试三个重要的安全漏洞CVE-2022-1802、CVE-2022-1529和CVE-2022-2200。这些漏洞已被...
CVE-2022-32532Apache Shiro RegExPatternMatcher 认证绕过复现
Foreverlove112的博客
10-01 1682
CVE-2022-32532Apache Shiro RegExPatternMatcher 认证绕过复现
[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
qq_51577576的博客
08-05 4722
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过复现
m0_67394002的博客
08-14 277
大白话,其实就是在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,这个类的Pattern存在带.的正则表达式匹配,如果存在/n或/r字符时,就会判断错误。6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。渗透机:Kali Linux。.
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密和会话管理功能,用于简化企业级应用的安全实现。在Spring Boot项目中,Shiro通常被用来控制用户的访问权限。然而,如标题和描述中提到的,存在...
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
CVE-2020-13933是一个关于Shiro认证绕过安全漏洞,它可能导致攻击者无需正确凭证就能通过认证。具体来说,该漏洞可能出现在以下情况: - Shiro在处理特定的认证请求时,可能存在逻辑错误,导致认证检查失效。 - ...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
Shiro 授权绕过CVE-2022-32532
YangYubo091699的博客
02-02 738
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理A。1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有的 RegExPatternMatcher 的应用程序可能容易受到授权绕过
Apache Shiro权限绕过漏洞CVE-2022-32532
weixin_54438700的博客
12-15 2778
ShiroApache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证
Apache Shiro 身份认证绕过漏洞CVE-2022-32532
qq_24380005的博客
07-01 1869
Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时,可以通过构造恶意数据包的方式绕过身份验证,导致权限控制失效。官方描述 漏洞修复版本 Apache Shiro < 1.9.1目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。 将Apache Shiro版本升级到1.9.1及以
漏洞复现 | Apache Shiro 授权绕过漏洞CVE-2022-32532
尼泊罗河伯的博客
09-16 4869
Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro安全通告,Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有“.”的正则时,可能会导致权限绕过漏洞源于 RegExPatternMatcher 默认使用的正则匹配的“.”不会匹配换行符,因此可以使用在路径中添加换行符来绕过权限匹配。
Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现
qq_36584013的博客
06-30 2624
Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现 0x01 漏洞简介 ​ Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。 0x02 环境准备 vulfocus 靶场 h...
Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】
weixin_40416851的博客
10-24 538
1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过。目前不是很明白这个漏洞如何去利用,有无大佬给我解释下,是指所有的接口都可以通过这种方式绕过认证吗?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。1)直接访问发现404。
Apache shiro RegExPatternMatcher 权限绕过漏洞 (CVE-2022-32532)
weixin_40750633的博客
09-26 831
Apache shiro RegExPatternMatcher 权限绕过漏洞 (CVE-2022-32532) 登录过滤器执行2次的问题
CVE-2022-32532 认证绕过漏洞分析,2024年最新太完整了
2401_83944328的博客
04-17 862
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;可以看到,这里正如上面漏洞原理分析的一样,pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。所以在如上满足使用了RegExPatternMatcher类,设置带有.的正则表达式等条件的场景下,利用该漏洞可实现权限认证绕过。在自定义controller中,配置了/permit/{value}这样从路径取参数的路由和/permit/*这样的通配路由。
spring boot 解决Apache Shiro身份认证绕过漏洞CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查应用程序的Shiro配置文件,确保已正确配置了身份认证。例如,应该使用密码哈希来存储用户的密码,并使用适当的加密算法来保护密码。 3.禁用Shiro的RememberMe功能,以防止身份验证绕过攻击。可以在Shiro配置文件中添加以下配置: ``` securityManager.rememberMeManager.cookie.enabled = false ``` 这将禁用RememberMe cookie。 4.限制登录尝试次数,以防止暴力攻击。可以使用Spring Security等其他安全框架来实现此功能。 这些措施可以有效地防止Apache Shiro身份认证绕过漏洞CVE-2023-22602)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java°遇上鲸鱼

文章帮您解决了问题打赏1元即可

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值