漏洞风险提示 | XStream 多个远程代码执行漏洞

  • A+
所属分类:安全漏洞
        长亭漏洞风险提示       


    XStream 多个远程代码

执行漏洞



XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象,大量运用于各种项目中。


2021年8月23日,XStream官方发布14个XStream重要安全更新,并且公开相关漏洞信息,其中11个高危,攻击者均可以实现任意代码执行或者命令执行,长亭安全研究人员经过研判确认此漏洞危害高,且利用复杂度低。


漏洞描述


CVE-2021-39139: 攻击者可以绕过XStream老版本的黑名单进行XML反序列化操作,可以利用原生链JDK7u21执行任意代码。


CVE-2021-39144,CVE-2021-39149,CVE-2021-39153: 攻击者通过构造恶意XML,可在目标服务端执行任意恶意代码,且无需目标服务器出网。


CVE-2021-39141,CVE-2021-39145,CVE-2021-39146,CVE-2021-39147,CVE-2021-39148,CVE-2021-39151,CVE-2021-39154: 攻击者通过构造恶意XML,配合使用LDAP或RMI反序列化,可在目标出网的情况下,在目标服务端执行任意恶意代码。


以上漏洞均为命令执行或者远程代码执行漏洞,漏洞危害高,利用复杂度低,请及时进行修复。


CVE-2021-39140: 攻击者构造恶意XML,实现DOS攻击。


CVE-2021-39150,CVE-2021-39152: 攻击者构造恶意XML,从而导致服务端请求伪造。


影响范围


XStream Version <= 1.4.17


解决方案


厂商已提供漏洞修补方案,请及时自查项目jar包或者依赖配置文件中的XStream版本,并且将XStream版本更换为最新1.4.18版本。


产品支持


雷池可提供虚拟补丁防护此漏洞,详情可咨询长亭科技技术支持人员获取雷池虚拟补丁。


参考资料



  • http://x-stream.github.io/changes.html


漏洞风险提示 |  XStream 多个远程代码执行漏洞

漏洞风险提示 |  XStream 多个远程代码执行漏洞



本文始发于微信公众号(长亭安全课堂):漏洞风险提示 | XStream 多个远程代码执行漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: