预警Apache Shiro Padding Oracle漏洞可导致远程命令执行

释放双眼,带上耳机,听听看~!

近日,本站安全专题监测到Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。

漏洞描述
Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击:

1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;

2、通过ysoserial反序列漏洞利用工具生成攻击payload作为plaintext;

3、使用rememberMe值作为prefix进行Padding Oracle攻击,加密payload的plaintext得到rememberMe攻击字符串;

4、使用rememberMe攻击字符串重新请求网站,进行反序列化攻击,最终导致远程任意命令执行。

本站安全专题提醒Shiro用户尽快排查网站安全性并采取安全措施阻止恶意攻击。

影响版本
1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1

安全版本

>=1.4.2

安全建议
1. 升级至安全版本,下载链接:https://github.com/apache/shiro/releases
2. 关闭rememberMe持久化登录功能。

云盾云中心应急漏洞模块已支持对该漏洞一键检测

相关链接
https://issues.apache.org/jira/browse/SHIRO-721

我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题
2019.11.14

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞

2019-12-19 11:12:22

安全漏洞

腾讯 Blade Team 获封 CNVD “最具价值漏洞”奖

2019-12-31 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索