Уязвимость наблюдаемого несоответствия времени в Apache Shiro. Эта проблема затрагивает Apache Shiro: начиная с версий 1.*, 2.* до 2.0.7. Пользователям рекомендуется выполнить обновление до версии 2.0.7 или более поздней, что устраняет проблему.
До Shiro 2.0.7 пути кода для несуществующих и существующих пользователей достаточно различались.
что атака методом грубой силы может определить, только по времени выполнения запросов, определить,
запрос не выполнен из-за несуществующего пользователя и неправильного пароля. Наиболее вероятный вектор атаки — только локальная атака. Модель безопасности Широ https://shiro.apache.org/security-model.html#username_enumeration также обсуждает это.
Обычно грубая атака может быть смягчена на уровне инфраструктуры.
Показать оригинальное описание (EN)
Observable Timing Discrepancy vulnerability in Apache Shiro. This issue affects Apache Shiro: from 1.*, 2.* before 2.0.7. Users are recommended to upgrade to version 2.0.7 or later, which fixes the issue. Prior to Shiro 2.0.7, code paths for non-existent vs. existing users are different enough, that a brute-force attack may be able to tell, by timing the requests only, determine if the request failed because of a non-existent user vs. wrong password. The most likely attack vector is a local attack only. Shiro security model https://shiro.apache.org/security-model.html#username_enumeration discusses this as well. Typically, brute force attack can be mitigated at the infrastructure level.
Характеристики атаки
Последствия
Строка CVSS v4.0