XStream 多个远程代码
执行漏洞
XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象,大量运用于各种项目中。
2021年8月23日,XStream官方发布14个XStream重要安全更新,并且公开相关漏洞信息,其中11个高危,攻击者均可以实现任意代码执行或者命令执行,长亭安全研究人员经过研判确认此漏洞危害高,且利用复杂度低。
漏洞描述
CVE-2021-39139: 攻击者可以绕过XStream老版本的黑名单进行XML反序列化操作,可以利用原生链JDK7u21执行任意代码。
CVE-2021-39144,CVE-2021-39149,CVE-2021-39153: 攻击者通过构造恶意XML,可在目标服务端执行任意恶意代码,且无需目标服务器出网。
CVE-2021-39141,CVE-2021-39145,CVE-2021-39146,CVE-2021-39147,CVE-2021-39148,CVE-2021-39151,CVE-2021-39154: 攻击者通过构造恶意XML,配合使用LDAP或RMI反序列化,可在目标出网的情况下,在目标服务端执行任意恶意代码。
以上漏洞均为命令执行或者远程代码执行漏洞,漏洞危害高,利用复杂度低,请及时进行修复。
CVE-2021-39140: 攻击者构造恶意XML,实现DOS攻击。
CVE-2021-39150,CVE-2021-39152: 攻击者构造恶意XML,从而导致服务端请求伪造。
影响范围
XStream Version <= 1.4.17
解决方案
厂商已提供漏洞修补方案,请及时自查项目jar包或者依赖配置文件中的XStream版本,并且将XStream版本更换为最新1.4.18版本。
产品支持
雷池可提供虚拟补丁防护此漏洞,详情可咨询长亭科技技术支持人员获取雷池虚拟补丁。
参考资料
-
http://x-stream.github.io/changes.html
本文始发于微信公众号(长亭安全课堂):漏洞风险提示 | XStream 多个远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论