服务公告
Apache Shiro 身份认证绕过漏洞 (CVE-2022-40664)
2022-10-13
一、概要
近日,华为云关注到Apache Shiro官方发布安全公告,披露在Apache Shiro < 1.10.0版本中,当通过RequestDispatcher 转发或包含时存在身份验证绕过漏洞(CVE-2022-40664),攻击者可以通过发送特制的HTTP请求获取对应用程序的未经授权的访问。
华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。
参考链接:
https://shiro.apache.org/security-reports.html#cve_2022_40664
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Shiro < 1.10.0
安全版本:
Apache Shiro 1.10.0
四、漏洞处置
目前,官方已发布最新的1.10.0版本修复了该漏洞,请受影响的用户升级至安全版本:
https://github.com/apache/shiro/tags
若无法及时升级,可通过白名单限制web端口的访问来进行临时规避(实施前请评估对业务的影响)。
华为云WAF用户可在WAF控制台配置精准防护规则,对业务管理后台入口(如/admin,以实际管理后台入口地址为准)设置IP访问控制,非管理员常用IP对管理后台入口的请求进行阻断。配置指导参见配置精准访问防护规则。
注:修复漏洞前请将资料备份,并进行充分测试。