首頁 -> 安全研究

安全研究

安全漏洞
Apache Shiro RememberMe Padding Oracle漏洞

發布日期:2019-11-15
更新日期:2019-11-18

受影響系統:
Apache Group Shiro 1.4.1
Apache Group Shiro 1.4.0-RC2
Apache Group Shiro 1.4.0
Apache Group Shiro 1.3.2
Apache Group Shiro 1.3.1
Apache Group Shiro 1.3.0
Apache Group Shiro 1.2.6
Apache Group Shiro 1.2.5
描述:
Apache Shiro是一個強大且易用的Java安全框架,被用來執行身份驗證、授權、密碼和會話管理。

Apache Shiro cookie的RememberMe字段通過AES-128-CBC模式進行加密,使Shiro易受到Padding Oracle攻擊。攻擊者可使用合法的RememberMe cookie作為Padding Oracle攻擊前綴,構造RememberMe觸發Java反序列化攻擊。攻擊者無需知道RememberMe的加密密鑰,即可執行攻擊。

<*來源:Apache
  *>

建議:
臨時解決方法:

目前官方暫未發布針對此漏洞的修復版本,請相關用戶實時關注官方動態及時進行升級。

產品防護
部署有綠盟科技Web應用防護系統(WAF)的用戶,可自行排查配置WAF防護參數及策略,實現對此漏洞的防護:

此漏洞的利用需要向服務器發送超長報文,因此在沒有調大數據接收緩沖區(默認4096)的情況下,WAF可對此漏洞實現防護。數據接受緩沖區需要在維護員權限下,進入“系統管理->系統參數配置”進行查看及配置。
由于此漏洞需要依靠服務器報錯來判斷是否利用成功,因此用戶也可開啟服務器信息泄露防護策略,阻斷異常響應,實現對此漏洞的防護。
臨時緩解措施
開發人員可自定義加密邏輯,避免使用CBC密碼塊鏈接模式,以下CipherSuite易受到Padding Oracle攻擊,請開發人員避免使用。(SHIRO官方即將發布的1.4.2版本,將加密模式替換為GCM)
若沒有使用RememberMe的業務需求,可在前端頁面注釋掉相關代碼,并將配置文件中的相關配置去掉。Shiro默認未配置RememberMe。
IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC3-SHA, EXP-DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, EXP-ADH-DES-CBC-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, EXP-RC2-CBC-MD5, IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, AES128-SHA, AES256-SHA, DH-DSS-AES128-SHA, DH-DSS-AES256-SHA, DH-RSA-AES128-SHA, DH-RSA-AES256-SHA, DHE-DSS-AES128-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES128-SHA, DHE-RSA-AES256-SHA, ADH-AES128-SHA, ADH-AES256-SHA

廠商補丁:

Apache Group
------------
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:

https://www.apache.org/security/projects.html

瀏覽次數:615
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
海南七星彩彩票官网 中国三大股票指数 贵州11选5预测 中国福利彩票3d 安徽11选五走势图出来了 下载广西快三快十 恒瑞医药股票 广西11选5彩票app 秒速赛车一期5码计划 短期理财产品收益排行 秒速快3开奖结果