当前位置:首页 > Liunx教程 >

Apache Shiro 默认密钥致命令执行漏洞

发布时间:2020-11-17 10:40:32 作者:佚名 阅读:(954)

今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥致命令执行漏洞的修复方法,有需要的小伙伴可以参考一下:

1、漏洞描述:

    Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

2、漏洞特征:

远程代码执行

3、修复建议:

    (1)、升级shiro至最新版本1.7.0并生成新的密钥替换。

    (2)、使用官方秘钥生成方法:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

    (3)、验证方法:Apache Shiro 默认密钥致命令执行漏洞验证工具

    备注:若在配置里配置了默认密钥,则立即修改,并妥善保管该密钥。


以上就是吾爱编程为大家介绍的关于Apache Shiro 默认密钥致命令执行漏洞的修复方法,了解更多相关文章请关注吾爱编程网!

欢迎分享转载→ Apache Shiro 默认密钥致命令执行漏洞

© 2015-2019 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们