迪普安全研究院
让网络更简单·智能·安全
背景描述
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供较完善的安全能力。
近日,迪普安全研究院团队监测到Apache官方发布安全公告,修复了一个身份验证绕过漏洞,漏洞编号为CVE-2022-40664。该漏洞与RequestDispatcher接口有关,攻击者可利用该漏洞绕过Shiro的身份验证流程。
迪普科技建议相关用户及时更新Apache Shiro至最新版本,做好相关防护措施。
严重等级
高
危
漏洞描述
该漏洞源于RequestDispatcher接口存在缺陷,攻击者可发送特制请求包,在通过RequestDispatcher进行请求转发或请求包含时实现身份认证绕过,进而实施下一步攻击。
影响范围
Apache Shiro < 1.10.0
解决方案
1 官方解决方案
目前Apache已修复该漏洞,请受影响用户升级至Apache Shiro 1.10.0及更高版本:
https://shiro.apache.org/download.html
1 迪普科技解决方案
迪普科技安全服务团队可协助客户梳理现网部署Apache Shiro的信息资产,并帮助客户进行版本升级指导以及安全配置等各种安全加固工作。如服务器疑似被入侵,迪普科技可安排安全服务专家针对网络安全入侵事件,为客户提供快速应急响应支撑服务以及专业的安全建设建议,并指导客户完善安全防护措施。
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。
原文始发于微信公众号(迪普科技):【漏洞风险通告】Apache Shiro身份认证绕过漏洞(CVE-2022-40664)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论