Apache Shiro 1.4.2 授权问题漏洞修复(CVE-2020-1957)

已于 2024-05-27 13:23:52 修改
阅读量3k 收藏
点赞数
分类专栏: Linux 文章标签: linux shiro 安全漏洞 云安全
于 2020-11-04 18:00:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_wzx/article/details/109495605
版权

shiro 版本漏洞修复

shiro 1.6.0 版本发布

Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread.html/rc64fb2336683feff3580c3c3a8b28e80525077621089641f2f386b63@%3Ccommits.camel.apache.org%3E

下载地址

1、官网下载地址:https://shiro.apache.org/download.html

不过二进制包下载地址失效,很多同学可能只能自行用JDK1.8 + Maven 打包,可以用如下方法:

2、访问网址:https://search.maven.org/

直接搜索 shiro-core 或者你需要的其他组件如shiro-web 等,下载对应版本

修复方法

替换线上的jar包即可,重启加载jar包的进程

问题

1、有可能你用的是knox ,knox加载shiro 版本过低造成的漏洞,目前knox 最新版本1.4.0 还是使用的shiro-core-1.4.2.jar等低版本组件,那么得自己升级knox的dep文件夹下的依赖包
shiro-cache-1.6.0.jar
shiro-config-core-1.6.0.jar
shiro-core-1.6.0.jar
shiro-ehcache-1.6.0.jar
shiro-lang-1.6.0.jar
shiro-web-1.6.0.jar

2、假如只升级了 shiro-core-1.6.0.jar 有可能导致其他隐藏bug,建议统一升级。

tony_wzx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro-jar-1.4版本升级到1.6版本问题探讨
weixin_38215472的博客
10-30 3944
最近公司领导用阿里云的工具扫描服务器上的项目,发现很多的高危漏洞; 其中有一个是shiro-jar-1.4版本存在高风险漏洞,所以赶紧解决它: 项目情况:这个项目是公司以前的旧项目,没有源代码,只有服务器上面的 war 包文件。 开始干活: 在官网下载了shiro-1.6的相关jar包文件: 然后把项目服务停掉,把shiro-1.4jar 包删除了,上传1.6的版本jar 包,重启服务器; 呃,启动正常访问不了,查看错误日志: 提示项目jdk的版本不一致!!!!!! shiro-1.4
shiro_1.4.2.rar
12-05
很多Java代码使用的shiro更新版本1.4.2,安全漏洞修复需要的下载 Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
CVE-2020-1957 漏洞复现
最新发布
huohaowen的博客
06-19 368
在一开始翻阅了CSDN之后,发现不同文章之间存在出入,于是最后去了CVE的官方文档,和参考一些国外的底层代码审计人员的报告,发现原理和CSDN上的部分文章存在出入,但是POC是相同的。在新版本的Shiro中GetRequestURL是由contextPath()+ servletPath()+ pathinfo() 这三个函数组合而成,当黑客传入。POC之后,在Shiro的过滤之下,返回的路径将会变成/admin/成功匹配,不会放行,成功防止了权限的绕过。然后我们用我们的POC去访问,成功绕过身份验证。
Apache Shiro 权限绕过漏洞Shiro-682)复现
whojoe的博客
05-12 3519
Apache Shiro 权限绕过漏洞Shiro-682)复现环境搭建下载代码导入idea检查参考文章 环境搭建 下载代码 https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic 将上面地址里的tree/master换成trunk,然后用svn co检出 svn co https://github.com/lenve/javaboy-code-samples/trunk/shiro/shiro-basic
shiro-core-1.4.0.jar
09-29
项目整合shiro时使用的jar包..
shiro
hcksust的博客
12-02 424
import org.apache.shiro.realm.Realm; import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition; import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition; import org.spri...
Apache Shiro
日拱一卒
11-20 485
【简介】 Apache Shiro是一个简单易用且强大而灵活的开源Java安全框架,以下简称Shiro。它干净利落地处理身份认证、授权以及企业会话管理和加密。Shiro拥有易于理解的API,你可以快速且容易地使用它来保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。 【官网】 https://shiro.apache.org/ 【推荐文章】 Apache Shiro权限框架...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957安全漏洞,允许攻击者绕过Shiro的权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro的权限...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
shiro所有版本jar
04-03
shiro所有的jar包 还有跟cas集成的jar包 以及shiro官网的jar下载地址
shiro所有jar
02-28
shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的
shiro需要的全部jar
10-19
shiro需要的全部jar包,可以结合springMAVC开发,里面有 缓存等等jar
shiro-all-1.2.2.jar
03-03
Apache Shiro一个功能强大,使用简单的Java安全框架
shiro 1.4.0所有jar包(全)
02-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
CVE-2020-11989环境
11-20
生命是一条美丽而曲折的幽径,路旁有妍花的丽蝶,累累的美果,但我们很少去停留观赏,或咀嚼它,只一心一意地渴望赶到我们幻想中更加美丽的豁然开朗的大道。然而在前进的程途中,却逐渐树影凄凉,花蝶匿迹,果实无存...
apache shiro版本查看_深入学习SpringBoot(四):springboot整合shiro
weixin_39721853的博客
11-26 499
shiro是一个权限框架,具体的使用可以查看其官网 http://shiro.apache.org/ 它提供了很方便的权限认证和登录的功能. 而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot结合springmvc,mybatis,整合shiro完成对于用户登录的判定和权限的验证. 1.准备数据库表结构 这里主要涉及到五张表:用户表,角色表(用...
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 4026
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Apache Shiro 目录穿越漏洞 CVE-2023-34478
07-29
很抱歉,但我没有找到关于Apache Shiro目录穿越漏洞CVE-2023-34478的相关信息。根据我所了解的情况,Apache Shiro在2022年6月29日披露了一个权限绕过漏洞CVE-2022-32532),该漏洞可能导致未经授权的远程攻击者绕过身份认证。Apache官方已发布修复漏洞的版本,并建议用户尽快升级至Apache Shiro 1.9.1及以上版本以确保安全。\[1\]\[2\]\[3\] 请注意,我的回答是基于提供的引用内容,如果有任何其他信息或更新,请参考官方渠道获取最新信息。 #### 引用[.reference_title] - *1* *3* [[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)](https://blog.csdn.net/qq_51577576/article/details/126155240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro权限绕过漏洞CVE-2022-32532)](https://blog.csdn.net/weixin_54438700/article/details/128324850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值