【漏洞通告】XStream多个漏洞通告

  • A+
所属分类:安全漏洞


漏洞分析


组件介绍

XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java 标注的方式指定别名。XStream在进行数据类型转换时,使用系统缺省的类型转换器。同时,也支持用户自定义的类型转换器。


2 漏洞描述

近日,深信服安全团队监测到XStream公布11个漏洞的信息,漏洞编号:CVE-2021-21341,CVE-2021-21342,CVE-2021-21343,CVE-2021-21344,CVE-2021-21345,CVE-2021-21346,CVE-2021-21347,CVE-2021-21348,CVE-2021-21349,CVE-2021-21350,CVE-2021-21351。


1、CVE-2021-21341 XStream拒绝服务漏洞

漏洞危害:中危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流,并替换或注入操纵后的ByteArrayInputStream(或派生类),这可能导致无限循环,从而导致拒绝服务。


2、CVE-2021-21342 XStream服务端请求伪造漏洞

漏洞危害:中危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。


3、CVE-2021-21343 XStream任意文件删除漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而删除本地主机上的文件。


4、CVE-2021-21344 XStream任意代码执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。


5、CVE-2021-21345 XStream远程命令执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器上执行本地命令。


6、CVE-2021-21346 XStream任意代码执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。


7、CVE-2021-21347 XStream任意代码执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。


8、CVE-2021-21348 XStream拒绝服务漏洞

漏洞危害:中危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致对恶意正则表达式的执行,最终导致拒绝服务。


9、CVE-2021-21349 XStream服务端请求伪造漏洞

漏洞危害:中危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。


10、CVE-2021-21350 XStream任意代码执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。


11、CVE-2021-21351 XStream任意代码执行漏洞

漏洞危害:高危。在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。


漏洞复现

搭建XStream件1.4.15版本环境,复现该漏洞,效果如下:

CVE-2021-21341

【漏洞通告】XStream多个漏洞通告

CVE-2021-21343

【漏洞通告】XStream多个漏洞通告

CVE-2021-21344

【漏洞通告】XStream多个漏洞通告

CVE-2021-21345

【漏洞通告】XStream多个漏洞通告

CVE-2021-21349

【漏洞通告】XStream多个漏洞通告


影响范围


目前受影响的XStream版本:

XStream <= 1.4.15


解决方案


官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://x-stream.github.io/download.html


深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴


2021/3/13  深信服监测到XStream官方发布安全公告。

2021/3/15  深信服千里目安全实验室复现该漏洞、发布解决方案。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】XStream多个漏洞通告


深信服千里目安全实验室

【漏洞通告】XStream多个漏洞通告

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们


本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】XStream多个漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: