修复Apache Shiro身份认证绕过漏洞 (CVE-2022-32532)步骤注意事项

注意事项在最下方

【紧急漏洞通告】
尊敬的用户，您好，近日发现以下最新漏洞威胁。
漏洞名称：Apache Shiro认证绕过漏洞（CVE-2022-32532）
漏洞描述：2022年6月29日，安全团队监测到一则Apache Shiro组件存在认证绕过漏洞的信息，漏洞编号：CVE-2022-32532，漏洞威胁等级：高危。
该漏洞是由于RegexRequestMatcher不正当配置存在安全问题，攻击者可利用该漏洞在未授权的情况下，构造恶意数据绕过Shiro的权限配置机制，最终可绕过用户身份认证，导致权限校验失败。
影响范围：
Apache Shiro是一个功能强大且易于使用的Java安全框架，功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地，主要分布在中国、美国、日本等国家，国内主要集中在广东、北京、上海等地。

目前受影响的Apache Shiro版本：
Apache Shiro < 1.9.1
官方解决方案：
当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
https://shiro.apache.org/download.html
修复建议参考《Apache Shiro认证绕过漏洞 CVE-2022-32532响应通告》

已修复完成，修复步骤以及注意事项

1. 将pom里面相关的shiro jar 包升级到1.9.1版本

参考：

	<shiro.version>1.9.1</shiro.version>
 <!-- apache shiro 相关jar -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-aspectj</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>${shiro.version}</version>
        </dependency>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

2. 升级过程中有些jar包maven可能自动下载不了
   提供阿里云仓库，直接搜jar包名，找到1.9.1的jar（耐心的找一下，都有），下载后本地导入
   仓库地址

3. 导入后，启动项目，原来的业务功能可能由于升级后报错，或者找不到文件，这个时候可以考虑引入报错文件的jar包。