近日,Apache官方公布了Apache Shiro身份驗證繞過高危漏洞和Apache Dubbo反序列化高危漏洞。遠程攻擊者通過Apache Shiro身份驗證繞過高危漏洞可繞過身份驗證,通過Apache Dubbo反序列化高危漏洞可造成惡意代碼執行。
一、漏洞情況
Apache Shiro 是一個功能強大且易於使用的Java安全框架,具有身份驗證、授權、加密和會話管理等功能。通過使用Apache Shiro的API,可輕鬆快速地保護任何應用程式。Apache Shiro中存在一個身份驗證繞過高危漏洞,當Apache Shiro與Spring Dynamic Controllers一起使用時,遠程攻擊者可通過構造惡意請求包進行利用,成功利用此漏洞可繞過身份驗證。
Apache Dubbo是一個分布式框架,致力於提供高性能透明化的RPC遠程服務調用方案,以及SOA服務治理方案。Apache Dubbo在實際應用場景中主要負責解決分布式的相關需求。Apache Dubbo中存在一個反序列化高危漏洞,遠程攻擊者可通過發送帶有無法識別的服務、方法名稱或帶有惡意參數的RPC請求對此漏洞進行利用,成功利用可造成惡意代碼執行。
二、影響範圍
Apache Dubbo反序列化高危漏洞可影響:Apache Shiro <= 1.5.2、Apache SkyWalking = 7.0.0版本產品;
Apache Dubbo反序列化高危漏洞可影響:2.7.0 <= Apache Dubbo <= 2.7.6、2.6.0 <= Apache Dubbo <= 2.6.7、Apache Dubbo 全部 2.5.x 版本(不再被官方團隊支持)。
三、處置建議
Apache官方已發布更新予以修復漏洞,請廣大用戶立即參考附件參考連結修復漏洞。
附件:參考連結:https://github.com/apache/shiro/releases;
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。