【安全风险通告】Xstream多个高危漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】Xstream多个高危漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到XStream官方发布漏洞公告,公开了多个高危漏洞的详细信息。这些漏洞可允许未授权攻击者进行远程代码执行、拒绝服务、文件删除以及服务端请求伪造攻击。鉴于这些漏洞影响较大且POC已公开,建议客户尽快自查修复。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

未知

未知




漏洞描述

近日,奇安信CERT监测到XStream官方发布漏洞公告,公开了多个高危漏洞的详细信息。这些漏洞可允许未授权攻击者进行远程代码执行、拒绝服务、文件删除以及服务端请求伪造攻击。鉴于这些漏洞影响较大且POC已公开,建议客户尽快自查修复。


XStream 远程代码执行漏洞:

XStream 存在远程代码执行漏洞,本次共公开5个(CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351)。XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致从远程服务器加载的任意代码的执行。

以下为CVE-2021-21347的复现截图:

【安全风险通告】Xstream多个高危漏洞安全风险通告


XStream 远程命令执行漏洞:

XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器上执行本地命令。


XStream 拒绝服务漏洞:

XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流,并替换或注入操纵后的ByteArrayInputStream(或派生类),这可能导致无限循环,从而导致拒绝服务。


XStream 正则表达式拒绝服务漏洞:

XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致对恶意正则表达式的执行,从而导致拒绝服务。


XStream 服务端请求伪造漏洞:

XStream 存在服务端请求伪造漏洞(CVE-2021-21342、CVE-2021-21349)。XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。


XStream 任意文件删除漏洞:

XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而删除本地主机上的文件。



风险等级

奇安信 CERT风险评级为高危
风险等级:蓝色(一般事件)



影响范围

使用了默认配置的以下版本的XStream受这些漏洞影响:

XStream version <= 1.4.15

遵循以下链接设置了XStream安全框架,且设置了最小化的白名单的用户不受影响:

https://x-stream.github.io/security.html#framework



处置建议

XStream 1.4.16版本修复了以上漏洞,建议尽快升级至安全版本:

https://x-stream.github.io/download.html


XStream默认使用AnyTypePermission,即可以接受任何类型。建议清除此默认设置并注册自己的权限再激活安全框架:

XStream xstream = new XStream();// clear out existing permissions and start a whitelistxstream.addPermission(NoTypePermission.NONE);// allow some basicsxstream.addPermission(NullPermission.NULL);xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);xstream.allowTypeHierarchy(Collection.class);// allow any type from the same packagexstream.allowTypesByWildcard(new String[] {    Blog.class.getPackage().getName()+".*"});

您可能会进一步查看XStream的验收测试,那里通常启用了安全框架。



产品解决方案

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:

6267 Xstream拒绝服务漏洞(CVE-2021-21341)、

6268 Xstream服务端请求伪造漏洞(CVE-2021-21342)、

6269 Xstream任意文件删除漏洞(CVE-2021-21343)、

6270 Xstream代码执行漏洞(CVE-2021-21344)、

6271 Xstream代码执行漏洞(CVE-2021-21345)、

6272 Xstream代码执行漏洞(CVE-2021-21346)、

6273 Xstream代码执行漏洞(CVE-2021-21347)、

6274 Xstream拒绝服务漏洞(CVE-2021-21348)、

6275 Xstream服务端请求伪造漏洞(CVE-2021-21349)、

6276 Xstream代码执行漏洞(CVE-2021-21350)、

6277 Xstream代码执行漏洞(CVE-2021-21351),建议用户尽快升级检测规则库至2103152122以后版本并启用该检测规则。


奇安信开源卫士已更新

奇安信开源卫士20210315. 623版本已支持对Xstream多个高危漏洞(CVE-2021-21351等)的检测。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Xstream 多个高危漏洞的防护。



参考资料

[1] https://x-stream.github.io/security.html



时间线

2021年3月15日,奇安信 CERT发布安全风险通告 


【安全风险通告】Xstream多个高危漏洞安全风险通告点击阅读原文 
到奇安信NOX-安全监测平台查询更多漏洞详情





【安全风险通告】Xstream多个高危漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓



本文始发于微信公众号(奇安信 CERT):【安全风险通告】Xstream多个高危漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: