使用 OneBlog(DBlog)的用户,请注意!!!
各位正在使用 OneBlog[1](DBlog)的用户,请注意,本篇文章非常重要,请一定要认真读完!
OneBlog 中使用了 Shiro 权限管理框架,版本为:
<shiro.spring.version>1.4.0</shiro.spring.version>
该版本针对 CookieRememberMeManager 存在一个反序列化的漏洞:
•原文:https://issues.apache.org/jira/browse/SHIRO-550•相关模拟:https://blog.csdn.net/Dothwinds/article/details/105244830
OneBlog 是我18年的时候开发出的一款博客系统,当时我在开发 OneBlog 时其实已经考虑到了这一点(当时没有考虑太深),因此给项目重新生成了一个 Key,并且想当然的在源码中给出了注释,如下:
但由于当时太天真,没有考虑到用户群体的复杂性,想当然的以为用户在用的时候一定会看源码(实际情况,除了专门研究源码的人,没有多少使用者会深究你的代码),因此也没有在文档中说明。
今日收到一位从事安全研究行业的朋友的提示,所以紧急修复一版:
在此给各位造成的不便,深表歉意。
升级方式:
• 如果本地代码未做过多修改,可以直接 git pull 拉取最新代码• 如果你已经做了不少定制开发,可以按照以下步骤操作:
在 blog-admin/src/main/java/com/zyd/blog/core/config/ShiroConfig.java 配置类中,增加以下内容:
/*** 解决 shiro 反序列化漏洞** https://blog.csdn.net/qq_34775355/article/details/106643678*/public static class GenerateCipherKey {/*** 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)** @return byte[]*/public static byte[] generateNewKey() {KeyGenerator kg;try {kg = KeyGenerator.getInstance("AES");} catch (NoSuchAlgorithmException var5) {String msg = "Unable to acquire AES algorithm. This is required to function.";throw new IllegalStateException(msg, var5);}kg.init(128);SecretKey key = kg.generateKey();return key.getEncoded();}}
然后修改 rememberMeManager 方法:
/*** cookie管理对象;记住我功能** @return*/public CookieRememberMeManager rememberMeManager() {CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();cookieRememberMeManager.setCookie(rememberMeCookie());// 主要是这个地方,使用上面定制的 key 生成器生成随机 keycookieRememberMeManager.setCipherKey(GenerateCipherKey.generateNewKey());return cookieRememberMeManager;}
或者直接 copy ShiroConfig.java[2] 中的代码覆盖你本地的相关代码。
最后,最好将 shiro 升级到最新版本,项目根目录下的 pom.xml 文件中,升级 shiro 相关的依赖:
<shiro.spring.version>1.7.1</shiro.spring.version>
PS: 呼吁各位使用 shiro 框架的开发者或者开源项目作者,自行检阅自己的项目是否也存在这个问题,如果存在,请及时修复!
引用链接
[1] OneBlog: https://gitee.com/yadong.zhang/DBlog
[2] ShiroConfig.java: https://gitee.com/yadong.zhang/DBlog/blob/master/blog-admin/src/main/java/com/zyd/blog/core/config/ShiroConfig.java
