龙空技术网

【网络安全】关于ApacheShiro身份验证绕过高危漏洞、ApacheDubbo反序列化高危漏洞的预警通报

宁夏网警巡查执法 110

前言:

此刻我们对“apache用户认证相关参数”可能比较关怀,小伙伴们都需要了解一些“apache用户认证相关参数”的相关知识。那么小编同时在网络上汇集了一些对于“apache用户认证相关参数””的相关知识,希望各位老铁们能喜欢,我们一起来学习一下吧!

近日,Apache官方公布了Apache Shiro身份验证绕过高危漏洞和Apache Dubbo反序列化高危漏洞。远程攻击者通过Apache Shiro身份验证绕过高危漏洞可绕过身份验证,通过Apache Dubbo反序列化高危漏洞可造成恶意代码执行。

一、漏洞情况

Apache Shiro 是一个功能强大且易于使用的Java安全框架,具有身份验证、授权、加密和会话管理等功能。通过使用Apache Shiro的API,可轻松快速地保护任何应用程序。Apache Shiro中存在一个身份验证绕过高危漏洞,当Apache Shiro与Spring Dynamic Controllers一起使用时,远程攻击者可通过构造恶意请求包进行利用,成功利用此漏洞可绕过身份验证。

Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。Apache Dubbo中存在一个反序列化高危漏洞,远程攻击者可通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用,成功利用可造成恶意代码执行。

二、影响范围

Apache Dubbo反序列化高危漏洞可影响:Apache Shiro <= 1.5.2、Apache SkyWalking = 7.0.0版本产品;Apache Dubbo反序列化高危漏洞可影响:2.7.0 <= Apache Dubbo <= 2.7.6、2.6.0 <= Apache Dubbo <= 2.6.7、Apache Dubbo 全部 2.5.x 版本(不再被官方团队支持)。

三、处置建议

Apache官方已发布更新予以修复漏洞,请广大用户立即参考附件参考链接修复漏洞。

附件:参考链接:;

标签: #apache用户认证相关参数 #apachewindows身份验证 #apacheshiro需要什么包 #apache请求验证