Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
一、漏洞说明最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。1.1 漏洞描述漏洞名称:远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险1.2 处置措施建议针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密;二、漏洞修复过程2.1 修改前事项shiro需要升级到1.7.1
原创
2021-06-24 23:51:37 ·
2827 阅读 ·
0 评论