Apache Shiro URL路径目录遍历漏洞

Apache Shiro URL路径目录遍历漏洞发布日期：2010-11-02
更新日期：2010-11-04受影响系统：
Apache Group Shiro 1.0.0-incubating
不受影响系统：
Apache Group Shiro 1.1.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 44616
CVE ID: CVE-2010-3863Apache Shiro是用于执行认证、授权、加密和会话管理的Java安全框架。Shiro的基于路径的过滤器链机制没有正常地规范化请求路径便执行了路径匹配逻辑，攻击者可以通过目录遍历攻击绕过过滤器，执行各种非授权操作。<*来源：Luke Taylor

链接：http://secunia.com/advisories/41989/
http://marc.info/？l=bugtraq&m=128880520013694&w=2
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！GET /./account/index.jsp HTTP/1.1建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://shiro.apache.org/index.htmlLinux Kernel net/子系统多个本地信息泄露漏洞ProFTPD多个模块目录遍历和缓冲区溢出漏洞相关资讯 Apache

Linux+Apache+PHP+Oracle 基础环境（11/23/2015 10:40:55）
Apache httpd 2.4.17 发布下载（10/14/2015 08:57:55）
Apple MacBook搭建Apache多站点（07/08/2015 09:41:46）

聊聊 Apache 开源协议（11/23/2015 10:13:05）
Ubuntu 14.04下 Apache修改网站根（07/29/2015 07:10:18）
25 个有用 Apache ‘.htaccess’ （07/01/2015 18:44:01）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款