Shiro又爆高危漏洞，Apache Shiro身份验证绕过漏洞安全风险通告

2020年8月18日，奇安信CERT监测到Apache Shiro官方发布安全通告  Apache Shiro身份验证绕过漏洞（CVE-2020-13933），经过分析，攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大，建议客户尽快升级到最新版本。

 

奇安信 CERT

漏洞描述

Apache Shiro是一个强大且易用的Java安全框架，通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API，您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB和企业应用程序。

 

2020年8月18日，奇安信CERT监测到Apache Shiro官方发布安全通告  Apache Shiro身份验证绕过漏洞（CVE-2020-13933），经过分析，攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大，建议客户尽快升级到最新版本。

 

奇安信CERT第一时间复现了CVE-2020-13933漏洞，复现截图如下：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

 

Apache Shiro < 1.6.0

处置建议

 

更新至最新版本：http://shiro.apache.org/download.html

产品线解决方案

奇安信开源卫士产品防护方案

奇安信开源卫士通过更新到20200818. 390版本，支持对Apache Shiro身份验证绕过漏洞的检测。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持Apache Shiro身份验证绕过漏洞（CVE-2020-13933）的防护。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2008181200” 及以上版本并启用规则ID: 1215901进行检测。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.08.18版本，支持对Apache Shiro身份验证绕过漏洞（CVE-2020-13933）的防护，当前规则正在测试中，将于8月18日发布，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10284版本，支持对Apache Shiro身份验证绕过漏洞（CVE-2020-13933）的防护，当前规则正在测试中，将于8月18日发布，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信天眼产品解决方案

奇安信天眼新一代安全感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0818. 12229及以上版本。规则名称：Apache Shiro身份验证绕过漏洞，规则ID：0x100209C5。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神云锁产品解决方案

奇安信网神云锁产品（私有云版/公有云版）可通过更新网站漏洞防御规则支持对Apache Shiro身份验证绕过漏洞（CVE-2020-13933）的防御，请用户联系技术支持人员获取防护规则。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5832，建议用户尽快升级检测规则库至2008181600以后版本并启用该检测规则。

参考资料

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13933

[2] https://shiro.apache.org/security-reports.html

时间线

2020年8月18日，奇安信 CERT发布安全风险通告

 

奇安信 CERT

 

奇安信CERT致力于

第一时间为企业级客户提供

安全风险通告和有效的解决方案

 

原文始发于微信公众号（奇安信 CERT）：【安全风险通告】Shiro又爆高危漏洞，Apache Shiro身份验证绕过漏洞安全风险通告