是新朋友吗?记得点击下面名片,关注我哦
漏洞概述
1.1、安全漏洞 CVE-2021-41303
漏洞名称 :Shiro 权限绕过漏洞(CVE-2021-41303)
漏洞类型:未授权访问
漏洞描述:
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Apache Shiro存在权限绕过漏洞,当Shiro与Spring Boot组合使用时,远程攻击者可以发送特制的HTTP请求绕过认证,获取敏感权限 。
修复建议:
将 Apache Shrio 升级到 1.8.0 及以上版本,
下载地址:http://shiro.apache.org/download.html
修复影响:不需要重启
参考链接:
CWE-287:
https://cwe.mitre.org/data/definitions/287.html
CNNVD-202109-1230:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202109-1230https://shiro.apache.org/security-reports.html
漏洞扫描报告:
版本比对检测原理:检查当前系统中Shiro版本是否小于1.8.0|版本比对检测结果:- Shiro 当前安装版本:1.4.0 应用相关信息:
- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-lang-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-cache-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-event-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-core-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-hash-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-core-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-config-ogdl-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-cipher-1.4.0.jar- Shiro当前安装版本:1.4.0应用相关信息:- 应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/shiro-crypto-core-1.4.0.jar该主机存在此漏洞复制
1.2 安全漏洞 CVE-2022-40664
漏洞名称:Shiro 身份认证绕过漏洞(CVE-2022-40664)
漏洞类型:未授权访问
漏洞描述:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Apache Shiro存在身份认证绕过漏洞,当Apache Shiro通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。
修复建议:将 Apache Shrio 升级到 1.10.0 及以上版本,
下载地址:http://shiro.apache.org/download.html
修复影响:服务重启
漏洞扫描报告:
版本比对检测原理:检查当前系统中shiro-spring版本是否在受影响版本内|版本比对检测结果:
shiro-spring当前安装版本:1.8.0应用相关信息:- 进程PID:66419- 应用路径:/data/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/lib/sentry/lib/shiro-spring-1.8.0.jar复制
解决方案
2.0、下载高版本jar包
按照修复提示,建议升级将 Apache Shrio 升级到 1.10.0 及以上版本,
下载地址:
http://shiro.apache.org/download.html
2.1、替换成高版本jar包,jar包清单如下:
shiro-lang-1.10.1.jarshiro-web-1.10.1.jarshiro-core-1.10.1.jarshiro-config-core-1.10.1.jarshiro-spring-1.10.1.jarshiro-ehcache-1.10.1.jarshiro-event-1.10.1.jarshiro-cache-1.10.1.jarshiro-config-ogdl-1.10.1.jarshiro-crypto-hash-1.10.1.jarencoder-1.2.2.jarshiro-crypto-cipher-1.10.1.jarshiro-crypto-core-1.10.1.jar复制
解决过程
1、查找在运行的进程中是否有低版本shiro相关的
jps -l复制
备注:防止有遗漏
2、查找本地文件应用安装路径下是否存在低版本shiro jar包
find -name 'shiro*'复制
3、备份该低版本shiro jar文件
#复制文件夹以及下面子文件到另外一个目录下
参考下面命令:
cp -r trilium/dump-db/ home复制
4、替换高版本shiro jar文件
参考下面命令:rm -f 1.logcp /trilium/2.log home/
复制
5、重启相关服务
本公众号中,回复关键字“shiro”,获取shiro高版本jar包备用下载地址
