【漏洞详情】
Apache Shiro 是一个强大且易用的 Java 安全框架,用于执行身份验证、授权、密码和会话管理。Apache Shiro cookie 中的通过 AES-128-CBC 模式加密的rememberMe字段存在问题,攻击者使用有效rememberMe cookie作为Padding Oracle攻击的前缀,通过构造恶意rememberMe即可实现反序列化攻击,最终导致远程代码执行。
【风险评级】
高危
【影响范围】
Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本
【修复建议】
目前官方尚未发布此漏洞的安全补丁,请受影响的用户及时关注官方更新,网址:https://issues.apache.org/jira/browse/SHIRO-721
【参考链接】
https://issues.apache.org/jira/browse/SHIRO-721
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年11月14日