背景描述
XStream是一个Java类库,主要用来将Java对象序列化成XML或反序列化为对象,可处理的对象类型几乎没有限制。
近日,XStream官方发布最新版本,披露了XStream远程代码执行漏洞(CVE-2021-29505)。该漏洞存在于解组XML时,可影响默认未配置白名单安全框架的用户。迪普科技建议相关用户及时进行修补更新,做好相关防护措施。
严重等级
⚠⚠ 高危
漏洞描述
该漏洞源于XStream解组XML时,若处理的数据流中包含重新创建已写入对象的类型信息,XStream将基于这些类型信息创建新的实例。当用户未配置白名单安全框架时,攻击者可操纵经过处理的输入流,替换或注入代码,通过构造恶意XML利用该漏洞执行主机命令。
影响范围
XStream ≤ 1.4.16
解决方案
官方解决方案
① 升级至1.4.17及以上版本。
http://x-stream.github.io/download.html
② 根据官方公告,该漏洞暂不影响配置白名单安全框架的用户。
https://x-stream.github.io/security.html#framework
迪普科技解决方案
迪普科技安全服务团队可协助客户进行现网使用XStream的信息资产的梳理,并帮助客户进行版本升级指导以及安全配置等各种安全加固工作。
如服务器疑似被入侵,迪普科技可安排安全服务专家针对网络安全入侵事件,为客户提供快速应急响应支撑服务以及专业的安全建设建议,并指导客户完善安全防护措施。
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598),进一步了解相关情况。
迪普科技安全服务团队拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证资质。
作为中国国家信息安全漏洞库一级技术支撑单位,迪普科技安全服务团队依托业内一流的安全服务专家团队和丰富的行业经验积累,以高质量、高标准的理念,为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务,帮助客户建立并持续完善网络安全技术和安全管理体系,提升客户信息系统的整体安全防护水平。
原文始发于微信公众号(迪普科技):【漏洞风险通告】XStream远程代码执行漏洞(CVE-2021-29505)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论