「網絡安全」關於Apache Shiro權限繞過高危漏洞的 預警通報

2020-12-25 寧夏網警巡查執法

近日,國家信息安全漏洞共享平臺(CNVD)公布了深信服終端檢測平臺(EDR)遠程命令執行高危漏洞,攻擊者利用該漏洞可遠程執行系統命令,獲得目標伺服器的權限。

一、漏洞情況

Apache Shiro是一個強大且易用的Java安全框架,用於執行身份驗證、授權、密碼和會話管理。由於shiro在處理url時與spring存在差異,處理身份驗證請求時出錯導致存在身份校驗繞過漏洞,遠程攻擊者可以發送特製的HTTP請求,繞過身份驗證過程並獲得對應用程式的未授權訪問。

二、影響範圍

Apache Shiro < 1.6.0。

三、處置建議

Apache Shiro官方已發布最新版本,請廣大用戶立即參考附件連結進行更新修復。

附件:參考連結:https://shiro.apache.org/security-reports.html

相關焦點

  • ApacheShiro身份驗證繞過高危漏洞的預警通報
    近日,Apache官方公布了Apache Shiro身份驗證繞過高危漏洞和Apache Dubbo反序列化高危漏洞。遠程攻擊者通過Apache Shiro身份驗證繞過高危漏洞可繞過身份驗證,通過Apache Dubbo反序列化高危漏洞可造成惡意代碼執行。
  • Shiro 權限校驗分析
    Shiro 概述Shiro 是一款 Apache 提供的權限校驗框架, Shiro 同時也是一個強大且易用的 Java 安全框架,執行身份驗證、授權、密碼學和會話管理。使用 Shiro 的易於理解的 API,您可以快速、輕鬆地獲得任何應用程式,從最小的行動應用程式到最大的網絡和企業應用程式,特別是今天對權限校驗和管理特別嚴格,大家有必要對shiro 有一個基本的認識和學習。
  • Apache Shiro 反序列化之殤
    Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。Apache Shiro 1.2.4及以前版本中,加密的用戶信息序列化後存儲在名為remember-me的Cookie中。
  • Spring Boot與Shiro整合實現用戶認證
    自定義Realm類package com.itheima.shiro;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo
  • Shiro的授權和Session管理(三)
    package com.yjl.role;import java.util.Arrays;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory
  • 「權威發布」近日重點網絡安全漏洞情況摘報
    大家好,小編近日將國內主流網絡安全媒體發布的重要網絡安全漏洞進行了梳理匯總,在這裡分享給大家學習。讓我們來共同提升網絡安全防範意識吧!1.廠商尚未發布漏洞修復程序,請及時關注更新。3. 盤古網絡建站系統存在SQL注入高危漏洞瀋陽盤古網絡成立於2003年,是一家提供域名註冊、虛擬主機、企業郵局、網站建設、網絡推廣、呼叫中心、電子支付等全套網絡營銷解決方案的公司。該公司盤古網絡建站系統存在SQL注入高危漏洞,攻擊者可利用該漏洞獲取資料庫敏感信息。
  • Apache Shiro反序化識別那些事
    1.1 關於Apache ShiroApache shiro是一個Java安全框架,提供了認證、授權、加密和會話管理功能,為解決應安全提供了相應的API:1.認證-用戶身份識別,常被稱為用戶」登錄」(理論上只要AES加密鑰洩,都會導致反序化)1.2.2 Shiro識別要想識別Apache Shiro反序列化漏,首先應該判斷相關的Web站點是否使shiro框架。
  • Golang XML解析器漏洞可引發SAML 認證繞過
    Golang XML解析器漏洞可引發SAML認證繞過 12月14日,Mattermost與Golang團隊發布了3個Go 語言XML 解析器安全漏洞。漏洞影響多個基於Go 的SAML 實現,可能引發完整的SAML 認證繞過。
  • ...郝軼:構建「泛在對抗」抗網絡安全體系,以未來戰理念贏得網絡戰
    技術發展日新月異,在網絡安全這一細分領域,「黑白之間的攻防技術競賽」同樣如火如荼。近年來,網絡安全威脅呈現高級化和智能化發展趨勢,黑客開始利用AI技術進行攻擊,關鍵信息基礎設施領域面臨新的安全風險與挑戰。為此,國家出臺多項政策,針對網絡安全監測預警、應急處置和檢測評估等提出了新要求。 針對關鍵信息基礎設施的安全防護技術也需要進一步提升。
  • 微軟被曝高危漏洞「永恆之黑」 或波及全球10萬伺服器
    鈦媒體從騰訊安全處獲悉,起名「永恆之黑」的原因在於,攻擊者利用該漏洞無須權限即可實現遠程代碼執行,一旦被成功利用,其危害不亞於永恆之藍。同時,SMB遠程代碼執行漏洞與「永恆之藍」系列漏洞極為相似,都是利用Windows SMB漏洞遠程攻擊獲取系統最高權限。
  • 英特爾CPU曝出漏洞:監視功耗就能輕鬆獲取數據
    雖然有著KASLR、TEEs等保護一系列安全系統的保護,但是攻擊者僅僅通過RAPL,利用監視功耗值的變化,便可以繞過所有這些安全系統,獲取我們CPU的數據。這個漏洞,是由來自格拉茨技術大學、伯明罕大學等高校的科學家發現並進行了報導。
  • 「新春走基層」一位網絡安全工程師的春節故事
    今年已經是綠盟科技團隊網絡安全工程師劉鍾第五年參加春節值班了,這段時間他和團隊成員幾乎「7x24」小時在線應急,實時監測各類網絡攻擊、排查電信詐騙風險。近年來,隨著網際網路技術的不斷發展,網際網路在人們日常生活中的普及率越來越高,春節期間全國網友幾乎都「指尖很忙」。
  • iOS13.1.2正式版發布 iPhone高危漏洞真有這麼恐怖?
    9 月 28 日,網上曝出蘋果手機永久性不可修復漏洞的信息,一時間全網轟動。近日,美國科技博客 Ars Technica 與漏洞發現者取得聯繫,並詳細介紹了這個名為「Checkm8」的史詩級高危漏洞。Checkm8,讀作 checkmate,也就是西洋棋術語「將死」,是一個可以使 iPhone 4S 到 iPhone 8、iPhone X 的所有蘋果手機,以及採用 A11 以前所有晶片的 iPad、iPod Touch
  • Node.js發布2021年第一個安全更新,包括兩個高危漏洞
    近日,Node.js 發布了2021年第一個安全更新,其中包括一個 TLSWrap 的 use-after-free 高危漏洞,可能被利用來破壞內存,從而導致拒絕服務攻擊。
  • 開放平臺:搭建API安全預警平臺
    編輯導語:現如今網際網路普及率很高,大家都會在網上的各種平臺進行註冊,這時候有一定的信息洩露風險,所以在前期開發時會設置一些防範策略;本文作者分享了關於搭建API安全預警平臺的方法,我們一起來看一下。用戶無法正常訪問:接口被頻繁請求,網絡請求堵塞。用戶訪問數據顯示異常:接口參數遭攻擊者篡改。對於公司:用戶投訴:用戶的風險問題很容易導致用戶投訴。
  • 蘋果高危漏洞允許攻擊者在iPhone、iPad、iPod上執行任意代碼
    通過此安全更新,Apple 解決了 AppleAVD,Apple Keyboard,WebKit和Siri等各種產品和組件中的11個漏洞。 在已修復的漏洞中,嚴重性最高的是CVE-2020-9992,它允許攻擊者在系統上執行任意代碼。
  • 360網站安全檢測平臺協助ShopEx修復高危漏洞
    360網站安全檢測平臺今日透露,該平臺近期協助ShopEx(商派)網上商店系統修復兩處高危漏洞,建議廣大採用ShopEx建站系統的電商網站儘快安裝補丁。據介紹,ShopEx漏洞由技術高手cond0r提交給360網站安全漏洞懸賞「庫帶計劃」,從而推動ShopEx快速修復了漏洞。
  • 36氪首發|為網絡安全保險提供技術支撐,「源堡科技」完成高瓴創投...
    此前,「源堡科技」曾在今年初獲得數千萬人民幣的首輪融資,投資方包括中關村發展前沿基金、啟迪之星、百咖創投、陸石投資和坤元資產。不到一年時間裡,「源堡科技」連續完成兩輪融資,累計融資額近億元。「源堡科技」是一家網絡安全領域的技術公司,基於具有自主智慧財產權的量化風險評估模型和平臺,主要為客戶提供「服務+保險」的主動型風險管理解決方案。換言之,其主要業務是為保險和再保險公司提供網絡安全保險產品的模型開發和技術服務,同時也為投保企業提供主動型風險監測和預警的「健康管理服務」, 藉助網絡安全保險提升企業整體風險管理水平。