注意事项在最下方
【紧急漏洞通告】
尊敬的用户,您好,近日发现以下最新漏洞威胁。
漏洞名称:Apache Shiro认证绕过漏洞(CVE-2022-32532)
漏洞描述:2022年6月29日,安全团队监测到一则Apache Shiro组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。
该漏洞是由于RegexRequestMatcher不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
影响范围:
Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地,主要分布在中国、美国、日本等国家,国内主要集中在广东、北京、上海等地。
目前受影响的Apache Shiro版本:
Apache Shiro < 1.9.1
官方解决方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
修复建议参考《Apache Shiro认证绕过漏洞 CVE-2022-32532响应通告》
已修复完成,修复步骤以及注意事项
- 将pom里面相关的shiro jar 包升级到1.9.1版本
参考:
<shiro.version>1.9.1</shiro.version>
<!-- apache shiro 相关jar -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-aspectj</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-cas</artifactId>
<version>${shiro.version}</version>
</dependency>
-
升级过程中有些jar包maven可能自动下载不了
提供阿里云仓库,直接搜jar包名,找到1.9.1的jar(耐心的找一下,都有),下载后本地导入
仓库地址 -
导入后,启动项目,原来的业务功能可能由于升级后报错,或者找不到文件,这个时候可以考虑引入报错文件的jar包。