shiro漏洞报告
- 工作小总结
- 时间:2020-11-21 22:44
- 2979人已阅读
🔔🔔好消息!好消息!🔔🔔
如果您需要注册ChatGPT,想要升级ChatGPT4。凯哥可以代注册ChatGPT账号,代升级ChatGPT4
有需要的朋友👉:微信号
委托单位:中华人民共和国工业和信息化部网络安全管理局
受委托单位:阿里云计算有限公司
漏洞名称:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
影响资产:服务器IP
阿里云账号:
漏洞描述
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
漏洞造成的影响
在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远程命令执行,从而进一步获取服务器权限。
安全建议
升级shiro至最新版本1.7.0并生成新的密钥替换,注意妥善保管密钥,防止泄漏。
利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(),换key修复指南:
https://www.codenong.com/cs106643678/
技术参考
https://xz.aliyun.com/search?keyword=shiro
漏洞验证工具:https://github.com/wyzxxz/shiro_rce
建设方案
建议您立即组织技术力量全面排查网络系统安全隐患,及时整改修复,并开展以下安全建设,确保网络系统安全运行。
1、定期进行专业的安全评估。
2、针对安全评估结果协调开发团队或厂商进行有效的安全整改和修复。
3、配备专业的WEB应用防火墙,针对来自互联网的主流WEB应用安全攻击进行安全防护。
4、建立和完善一套有效的安全管理制度,对信息系统的日常维护和使用进行规范。
5、建立起一套完善有效的应急响应预案和流程,并定期进行应急演练,一旦发现发生任何异常状况可及时进行处理和恢复,
有效避免网站业务中断带来损失。
6、定期对相关管理人员和技术人员进行安全培训,提高安全技术能力和实际操作能力。
