Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

公众号程序猿DD

共 924字,需浏览 2分钟

 ·

2020-08-24 05:00

点击上方蓝色“程序猿DD”,选择“设为星标”

回复“资源”获取独家整理的学习资料!

作者 | 冷冷zz

来源 | https://www.oschina.net/news/118006/apache-shiro-1-6-0-released?utm_source=new_prj_news

Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

更新日志

  • 过滤器链解析不正确。

  • Base64 工具类#decode.异常

  • 添加对全局过滤器支持

  • 更新相关依赖

CVE-2020-13933 安全漏洞

CVE-2020-11989(2020.6 的安全漏洞)的修复补丁存在缺陷,由于 shiro 在处理 url 时与 spring 存在差异,处理身份验证请求时出错导致依然存在身份校验绕过漏洞,远程攻击者可以发送特制的 HTTP 请求,绕过身份验证过程并获得对应用程序的未授权访问。

Apache Shiro < 1.6.0 都会有此问题 ,请大家及时升级

<dependency>
  <groupId>org.apache.shirogroupId>

  <artifactId>shiro-allartifactId>
  <version>1.6.0version>
  <type>pomtype>
dependency>


往期推荐

扛住100亿次请求?我们来试一试!

SpringBoot + Mybatis + Druid + PageHelper 实现多数据源分页

Java 中的 BigDecimal,你真的会用吗?

华为阿里下班时间曝光:所有的光鲜,都有加班的味道

MySQL 的 Binlog 日志处理工具(Canal,Maxwell,Databus,DTS)对比

Serverless:为我们到底带来了什么


星球限时拼团优惠进行中

我的星球是否适合你?

点击阅读原文看看我们都聊过啥?

浏览 13
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报