- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2021/02/03
Apache Shiro一个强大、灵活、开源的 Java 安全框架,支持身份验证、权限控制、会话管理以及加密等功能,其对外提供了简洁易用的API,用户可以快速的给应用添加安全控制。近日,新华三攻防实验室威胁预警团队监测到Apache Shiro官方发布了一则关于修复—Apache Shiro身份验证绕过漏洞(CVE-2020-17523)的安全通告,并进行了复现和分析。
鉴于Apache Shiro 近期出现多个身份验证绕过漏洞,通过分号、双重编码等多种不同的利用方式可绕过shiro权限校验流程,因此在Shiro 1.6.0版本中,新增了URL预处理过滤器进行修补,请求的URL在进入 Shiro 处理逻辑之前,会使用过滤器对分号、反斜杠和非ASCII字符预先进行过滤。结合Shiro 1.7.1版本的修复代码进行分析发现,此修复方式仍存在绕过的可能,在处理特制的请求URL时,由于shiro与spring对此特殊路径的处理流程不一致,从而可绕过shiro身份校验。攻击者可以通过构造特殊的HTTP请求绕过身份验证直接访问资源。
1)搭建漏洞环境,访问正常的资源路径,会进入shiro处理流程,需要进行身份认证。
2)构造特制的请求路径,可在无需身份认证的情况下直接访问资源。
Apache Shiro < 1.7.1
中危
1、Apache Shiro官方已经在新版本中修复该漏洞,请升级至Shiro 1.7.1版本,下载链接:https://github.com/apache/shiro/releases/tag/shiro-root-1.7.1
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.119版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
1、 https://github.com/apache/shiro/commit/ab1ea4a2006f6bd6a2b5f72740b7135662f8f160
产品与解决方案
