【一】背景描述
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
近日,迪普安全研究院团队监测到Apache发布的安全公告中修复了一个存在于Apache Shiro中的身份认证绕过漏洞(CVE-2022-32532)。该漏洞是由于RegexRequestMatcher中的错误配置导致的。由于此漏洞影响范围较大,迪普科技提醒相关用户尽快排查漏洞情况,以降低安全风险。
【二】严重等级
高危
【三】漏洞描述
该漏洞是由于当Apache Shiro中使用RegexRequestMatcher进行权限配置时,未经授权的远程攻击者使用的正则表达式中携带特殊字符时,会导致配置的权限验证失效,攻击者成功利用该漏洞可以绕过身份验证过程,对应用程序进行未经授权访问。
CVE-2022-32532复现结果截图:
【四】影响范围
Apache Shiro < 1.9.1
【五】解决方案
官方解决方案
官方已发布安全版本,请及时下载更新,下载地址:
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
迪普科技解决方案
迪普科技安全研究院在监测到Apache Shiro身份认证绕过漏洞后,迅速采取了应急措施。
1)使用迪普“慧眼检测平台”检测现网环境中是否存在Apache Shiro身份认证绕过漏洞。
2)使用迪普“态势感知平台”检测现网环境中是否存在Apache Shiro身份认证绕过漏洞攻击行为。
◆态势感知特征库版本:2022070101
3)迪普科技安全服务团队可协助客户完成现网安全风险评估,针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议。
4)DPtech WAF3000可以通过配置请求行正规化策略,拦截URL中的特殊控制字符来进行防御,默认策略设置如下,建议修改动作为阻断。
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598),进一步了解相关情况。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论