shiro漏洞报告

简介 委托单位:中华人民共和国工业和信息化部网络安全管理局受委托单位:阿里云计算有限公司漏洞名称:ApacheShiro默认密钥致命令执行漏洞(CVE-2016-4437)影响资产:服务器IP阿里云账号:漏洞描述ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。漏洞造成的影响在配置了默认密钥的情况下,攻击者可以通过精心构造的Payload实现远程命令执行,从

委托单位:中华人民共和国工业和信息化部网络安全管理局

受委托单位:阿里云计算有限公司

漏洞名称:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)

影响资产:服务器IP

阿里云账号:

漏洞描述

Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。

漏洞造成的影响

在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远程命令执行,从而进一步获取服务器权限。

安全建议

升级shiro至最新版本1.7.0并生成新的密钥替换,注意妥善保管密钥,防止泄漏。

利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(),换key修复指南:

https://www.codenong.com/cs106643678/

技术参考

https://xz.aliyun.com/search?keyword=shiro

漏洞验证工具:https://github.com/wyzxxz/shiro_rce

建设方案

建议您立即组织技术力量全面排查网络系统安全隐患,及时整改修复,并开展以下安全建设,确保网络系统安全运行。

1、定期进行专业的安全评估。

2、针对安全评估结果协调开发团队或厂商进行有效的安全整改和修复。

3、配备专业的WEB应用防火墙,针对来自互联网的主流WEB应用安全攻击进行安全防护。

4、建立和完善一套有效的安全管理制度,对信息系统的日常维护和使用进行规范。

5、建立起一套完善有效的应急响应预案和流程,并定期进行应急演练,一旦发现发生任何异常状况可及时进行处理和恢复,

有效避免网站业务中断带来损失。

6、定期对相关管理人员和技术人员进行安全培训,提高安全技术能力和实际操作能力。

f12b4fef085b98b375448f655a00e760.png

Top Top