漏洞名称 : XStream多个安全漏洞通告
组件名称 : XStream
安全公告链接 :
https://x-stream.github.io/changes.html
漏洞分析
1 组件介绍
XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定别名。XStream在进行数据类型转换时,使用系统缺省的类型转换器。同时,也支持用户自定义的类型转换器。
2 漏洞简介
近日,深信服安全团队监测到一则XStream官方发布安全补丁的通告,共修复了14个安全漏洞,其中包含12个高危漏洞的信息。
|
序号 |
漏洞名 |
漏洞编号 |
严重等级 |
影响版本 |
|
1 |
XStream 任意代码执行漏洞 |
CVE-2021-39139 |
高危 |
<1.4.18 |
| 2 |
XStream 任意代码执行漏洞 |
CVE-2021-39141 |
|
|
| 3 |
XStream 任意代码执行漏洞 |
CVE-2021-39144 |
高危 | |
| 4 |
XStream 任意代码执行漏洞 |
CVE-2021-39145 |
高危 | |
| 5 |
XStream 任意代码执行漏洞 |
CVE-2021-39146 |
高危 | |
| 6 |
XStream 任意代码执行漏洞 |
CVE-2021-39147 |
高危 | |
| 7 |
XStream 任意代码执行漏洞 |
CVE-2021-39148 |
高危 | |
| 8 |
XStream 任意代码执行漏洞 |
CVE-2021-39149 |
高危 | |
| 9 |
XStream 任意代码执行漏洞 |
CVE-2021-39151 |
高危 | |
| 10 |
XStream 任意代码执行漏洞 |
CVE-2021-39153 |
高危 | |
| 11 |
XStream 任意代码执行漏洞 |
CVE-2021-39154 |
高危 | |
|
12 |
XStream SSRF漏洞 |
CVE-2021-39150 |
中危 |
|
| 13 |
XStream SSRF漏洞 |
CVE-2021-39152 |
中危 |
|
|
14 |
XStream 拒绝服务漏洞 |
CVE-2021-39140 |
高危 |
3 漏洞描述
漏洞1:CVE-2021-39139 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞2:CVE-2021-39140 XStream拒绝服务攻击漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并注入特定的对象,这可能会导致无限循环,从而引起拒绝服务。
漏洞3:CVE-2021-39141 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞4:CVE-2021-39144 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞5:CVE-2021-39145 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞6:CVE-2021-39146 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞7:CVE-2021-39147 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞8:CVE-2021-39148 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞9:CVE-2021-39149 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞10:CVE-2021-39150 XStream SSRF漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此导致服务器端伪造请求。
漏洞11:CVE-2021-39151 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞12:CVE-2021-39152 XStream SSRF漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此导致服务器端伪造请求。
漏洞13:CVE-2021-39153 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
漏洞14:CVE-2021-39154 XStream任意代码执行漏洞
攻击者通过构造恶意的XML文件,可以绕过XStream的黑名单机制,从而触发反序列化,导致反序列化代码执行,并因此造成任意代码执行的安全问题。
影响范围
XStream 是一种用来将对象序列化成XML文件的代码库,其在全球范围内应用广泛。由于XStream的历史版本多采用黑名单的方式来防护安全问题,从而导致历史版本多次被绕过而引发安全问题。本次通告的多个漏洞将影响XStream小于1.4.18的版本。
目前受影响的XStream版本:
XStream < 1.4.18
解决方案
1 官方修复建议
当前官方已发布最新版本已修复漏洞,建议受影响的用户及时更新官方的最新版本。链接如下:
https://x-stream.github.io/news.html
若由于特殊情况,暂时无法升级到最新版本,低版本用户可根据官方建议进行加固。链接如下:
https://x-stream.github.io/security.html#example
2 深信服解决方案
【深信服下一代防火墙AF】 预计2021年8月25日可防御这些漏洞,建议用户将深信服下一代防火墙开启IPS防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】预计2021年8月25日可检测这些漏洞,结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的这些漏洞,并可联动【深信服下一代防火墙AF】等产品实现对攻击者IP的封堵。
时间轴
2021/8/23 深信服监测到XStream官方发布安全公告。
2021/8/23 深信服千里目安全实验室发布漏洞通告并提供深信服解决方案。
参考链接
1. https://x-stream.github.io/news.html
2. https://x-stream.github.io/security.html#example
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【安全公告】XStream多个安全漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论