专栏首页绿盟科技安全情报【漏洞预警】Apache Shiro RememberMe Padding Oracle漏洞预警通告

【漏洞预警】Apache Shiro RememberMe Padding Oracle漏洞预警通告

预警编号:NS-2019-0049

2019-11-14

TAG:

Apache Shiro、RememberMe、 Padding Oracle 、Java反序列化

漏洞危害:

高,攻击者利用此漏洞,可造成远程代码执行。

版本:

1.0

1

漏洞概述

2019年9月8日,Apache官方发布了编号为SHIRO-721的漏洞议题“RememberMe Padding Oracle Vulnerability”。该议题指出,由于Apache Shiro cookie的RememberMe字段通过AES-128-CBC模式进行加密,使Shiro易受到Padding Oracle攻击。攻击者可使用合法的RememberMe cookie作为Padding Oracle攻击前缀,构造RememberMe触发Java反序列化攻击。攻击者无需知道RememberMe的加密密钥,即可执行攻击。

Apache Shiro是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理。近日,发现针对该漏洞的利用方式已被小范围传播,请相关用户尽快采取措施对此漏洞进行防护。

攻击步骤如下:

  1. 登录shiro网站,从cookie中获取RememberMe字段。
  2. 用获取的RememberMe字段作为Padding Oracle Attack的前缀。
  3. 加密ysoserial的序列化payload,构造Padding Oracle Attackd的RememberMe字段。
  4. 用新构造的RememberMe cookie向shiro网站发送请求,执行Java反序列化攻击。

参考链接:

https://issues.apache.org/jira/browse/SHIRO-721

SEE MORE →

2影响范围

受影响版本

  • Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1

不受影响版本

  • Apache Shiro-root-1.4.2-release-vote1(即将发布)

3漏洞防护

目前官方暂未发布针对此漏洞的修复版本,请相关用户实时关注官方动态及时进行升级。

3.1 产品防护

部署有绿盟科技Web应用防护系统(WAF)的用户,可自行排查配置WAF防护参数及策略,实现对此漏洞的防护:

1、 此漏洞的利用需要向服务器发送超长报文,因此在没有调大数据接收缓冲区(默认4096)的情况下,WAF可对此漏洞实现防护。数据接受缓冲区需要在维护员权限下,进入“系统管理->系统参数配置”进行查看及配置。

2、 由于此漏洞需要依靠服务器报错来判断是否利用成功,因此用户也可开启服务器信息泄露防护策略,阻断异常响应,实现对此漏洞的防护。

3.2 临时缓解措施

1、开发人员可自定义加密逻辑,避免使用CBC密码块链接模式,以下CipherSuite易受到Padding Oracle攻击,请开发人员避免使用。(SHIRO官方即将发布的1.4.2版本,将加密模式替换为GCM)

IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC3-SHA, EXP-DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, EXP-ADH-DES-CBC-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, EXP-RC2-CBC-MD5, IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, AES128-SHA, AES256-SHA, DH-DSS-AES128-SHA, DH-DSS-AES256-SHA, DH-RSA-AES128-SHA, DH-RSA-AES256-SHA, DHE-DSS-AES128-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES128-SHA, DHE-RSA-AES256-SHA, ADH-AES128-SHA, ADH-AES256-SHA

2、若没有使用RememberMe的业务需求,可在前端页面注释掉相关代码,并将配置文件中的相关配置去掉。Shiro默认未配置RememberMe。

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟安全服务部

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • GandCrab勒索病毒分析处置手册

    GandCrab勒索病毒于2018年1月面世以来,短短一年内历经多次版本更新,目前最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据...

    绿盟科技安全情报
  • 【漏洞预警】GhostScript -dSAFER沙箱绕过漏洞(CVE-2019-10216)预警通告

    Ghostscript是一套基于Adobe、PostScript及可移植文档格式(PDF)等页面描述语言而编译成的免费图像处理软件,被广泛应用于图片处理组件。目...

    绿盟科技安全情报
  • 【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞预警通告V2.0

    4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogi...

    绿盟科技安全情报
  • 无线宝宝wifi热点共享软件刷流量行为分析

    近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量...

    FB客服
  • 深度揭密:为什么别人总是准时下班,而你却总是疯狂 996

    在生活节奏越来越快的今天,无论任何行业,每个人都必定承担着各种巨大的压力。而对于我们从事 IT 行业的小伙伴来说,压力也许会更大一些,必定互联网行业可以说是日新...

    iMike
  • 如何学习区块链技术。

    要有效地学习区块链技术,您需要深入了解区块链协议和一些编程语言。记住区块链是一种可以用各种编程语言实现的协议。看下面的例子:

    孟先生
  • iData iOS 开发之 1: API 测试

    https://www.kancloud.cn/idata/idata/435827

    iOSDevLog
  • __asm__ volatile 之 C语言嵌入式汇编

    或者: para = 0x04 movl $para, %ebx 指令执行的结果是将立即数04h装入寄存器ebx。

    用户1147447
  • ios Hit-Test

    什么是Hit-Test? 要回答这个首先我们来思考另外一个问题:当我们点击界面的时候,iOS是如何知道我们点击的是哪一个View? 其实这个过程就是由Hit...

    赵哥窟
  • Pytest自定义标记mark及指定文件/类/方法/用例执行

    pytest.main(['-s','test01.py','-m=test'])

    橙子探索测试

扫码关注云+社区

领取腾讯云代金券