安全通告
首页技术支持 安全通告

天融信关于Apache Shiro Padding Oracle漏洞预警

发布时间:2019-11-14查看次数:453
分享到

0x00背景介绍

Apache Shiro是一个简单易用且强大而灵活的开源Java安全框架,以下简称Shiro。它干净利落地处理身份认证、授权以及企业会话管理和加密。Shiro拥有易于理解的API,你可以快速且容易地使用它来保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序

0x01漏洞描述

Padding Oracle Attack是针对CBC链接模式的攻击,和具体的加密算法无关。这种攻击方式不是对加密算法的攻击,而是针对算法的使用不当进行的攻击
cookie中的rememberMe字段采用了AES-128-CBC加密模式,因此易遭受Padding Oracle攻击,攻击者通过使用RememberMe cookie作为Padding Oracle Attack的前缀,然后通过精心制作的RememberMe来执行Java反序列化攻击
整个过程攻击者无需知道RememberMe的加密秘钥。并通过以下步骤发起攻击
首先从登陆的网站中获取Cookie中的RememberMe
使用该RememberMe Cookie作为Padding Oracle Attack的一个前缀
构造RememberMe,使用Padding Oracle攻击来加密ysoserial工具中的一个playload
重新请求网站时,使用我们精心构造好的RememberMe来进行反序列化攻击,并最终造成远程代码执行。

0x02漏洞编号

暂无

0x03受影响版本

Apache Shiro
1.2.5
1.2.6
1.3.0
1.3.1
1.3.2
1.4.0-RC2
1.4.0
1.4.1

0x04修复建议

目前官方尚未发布漏洞修复补丁

0x05支持热线

天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展。
获取支持联系方式如下:
拨打400-777-0777电话联系技术支持团队获得支持。

0x06声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。