Apache Shiro 1.4.2 授权问题漏洞修复(CVE-2020-1957)

已于 2024-05-27 13:23:52 修改
阅读量3.3k 收藏 1
点赞数
分类专栏: Linux 文章标签: linux shiro 安全漏洞 云安全
于 2020-11-04 18:00:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tony_wzx/article/details/109495605
版权
Apache Shiro 1.6.0 版本已发布,修复了一个绕过授权的高危漏洞。用户可以通过官网或 Maven 仓库下载更新。对于使用 Knox 的系统,需要手动升级依赖包到 1.6.0 版本来解决安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro 版本漏洞修复

shiro 1.6.0 版本发布

Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread.html/rc64fb2336683feff3580c3c3a8b28e80525077621089641f2f386b63@%3Ccommits.camel.apache.org%3E

下载地址

1、官网下载地址:https://shiro.apache.org/download.html

不过二进制包下载地址失效,很多同学可能只能自行用JDK1.8 + Maven 打包,可以用如下方法:

2、访问网址:https://search.maven.org/

直接搜索 shiro-core 或者你需要的其他组件如shiro-web 等,下载对应版本

修复方法

替换线上的jar包即可,重启加载jar包的进程

问题

1、有可能你用的是knox ,knox加

最低0.47元/天 解锁文章
shiro如何去掉弹出提示框登录_Shiro 权限绕过漏洞分析(CVE-2020-1957
weixin_30306507的博客
01-06 1174
1## 前言2020年3月23号,Shiro开发者Brian Demers在用户社区发表帖子,提醒shiro用户进行安全更新,本次更新进行了三个修复,其中就包括了对编号为CVE-2020-1957的Shrio授权绕过漏洞修复漏洞影响shiro 1.5.2版本以下。分析过程SHIRO-682根据Shiro开发者在1.5.2版本中提交的commit中关于PathMatchingFilter类的测试...
Apache Shiro 权限绕过漏洞Shiro-682)复现
whojoe的博客
05-12 3650
Apache Shiro 权限绕过漏洞Shiro-682)复现环境搭建下载代码导入idea检查参考文章 环境搭建 下载代码 https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic 将上面地址里的tree/master换成trunk,然后用svn co检出 svn co https://github.com/lenve/javaboy-code-samples/trunk/shiro/shiro-basic
shiro反序列化漏洞修复
m0_67394360的博客
03-28 923
文章目录 shiro反序列化漏洞修复 前言 解决方案 shiro反序列化漏洞修复 前言 最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 解决方案 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器 pu
Apache Shiro 身份验证绕过漏洞 (CVE-2020-1957)
最新发布
Long___Xiao的博客
03-09 333
这里对该漏洞进行简要总结,发送的URL请求进入shiro权限检验再进入spring中处理,漏洞就出现在发送的URL和shiro检验的URL以及spring处理后的URL都不相同。当Shiro与Spring结合使用时,由于两者对URL的解析规则不一致(例如处理/path/与/path、路径变量或特殊字符),攻击者可构造特定请求绕过权限校验。/admin/,返回URL:/admin/2shiro处理后以 **;由于处理后的URL并不会匹配到/admin/**,所以shiro权限验证就通过了。
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5671
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
shiro漏洞部分修复方法
m0_67403188的博客
04-07 4124
1.shiro反序列化漏洞解决方案: https://blog.csdn.net/ying_521125/article/details/109893850 2.Xss漏洞攻击: 在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter) ...
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 1995
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
Apache shiro 权限绕过(CVE-2020-1957
Aquarius_ego的博客
06-22 2271
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。攻击者可借助特制的请求利用该漏洞绕过身份验证。Apache Shiro ......
Shiro 权限绕过漏洞复现(CVE-2020-1957
m0_48520508的博客
01-27 2730
0x00简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 0x01漏洞概述 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。主要是Spring web在匹配url的时候没有匹配上/导致绕过 0x02影响范围 Ap
Shiro 权限绕过漏洞CVE-2020-1957)复现
玄道的网安博客
08-25 6148
漏洞分析 https://github.com/apache/shiro/commit/9762f97926ba99ac0d958e088cae3be8b657948d 主要是Spring web在匹配url的时候没有匹配上/导致绕过 环境搭建 下载代码 https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic 导入idea 修改Shiro版本1.4.2 <dependency&gt
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro_1.4.2.rar
12-05
很多Java代码使用的shiro更新版本1.4.2安全漏洞修复需要的下载 Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。
shiro-core-1.4.0.jar
09-29
项目整合shiro时使用的jar包..
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2958
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
shiro历史漏洞分析—CVE-2020-1957漏洞
include_voidmain的博客
09-22 2080
shiro历史漏洞分析—CVE-2020-1957漏洞
Shiro框架漏洞复现(附修复方法)
C233333235的博客
08-07 897
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。在Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。其Cookie的Key的值为RememberMe,Value的值是经过序列化、AES加密和Base64编码后得到的结果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值