8月23日,威尼斯432888camCERT监控到XStream官方发布安全更新,修复了CVE-2021-39139在内的多个漏洞(PoC已公开)。XStream是一个常用的能将Java对象转化成XML格式数据并能从XML反序列化的工具,攻击者可以利用相关漏洞,并让目标解析其构造的恶意的XML时,可执行任意代码。并且此次修复的部分漏洞仅需依赖JDK库即可触发反序列化造成任意代码执行。
鉴于该组件使用量较多,漏洞危害较大,建议客户及时进行自查和更新。
CVE-2021-39139,任意代码执行漏洞,高危
CVE-2021-39141,任意代码执行漏洞,高危CVE-2021-39144,远程命令执行漏洞,高危CVE-2021-39145,任意代码执行漏洞,高危CVE-2021-39146,任意代码执行漏洞,高危CVE-2021-39147,任意代码执行漏洞,高危CVE-2021-39148,任意代码执行漏洞,高危CVE-2021-39149,任意代码执行漏洞,高危CVE-2021-39151,任意代码执行漏洞,高危CVE-2021-39153,任意代码执行漏洞,高危CVE-2021-39154,任意代码执行漏洞,高危
排查项目jar文件或者依赖配置文件中XStream的版本,如果低于低于1.4.17(包括 1.4.17),则受漏洞影响,需要更新到1.4.18版本。2.目前官方已经发布安全版本修复相关漏洞,请及时更新到安全版本XStream 1.4.18:3.XStream以往版本默认使用黑名单进行安全防护,而黑名单极易被绕过。在此次更新中,XStream将默认使用白名单的方式进行过滤,强烈建议客户升级默认使用白名单对应的1.4.18版本。
https://x-stream.github.io/security.htmlhttp://x-stream.github.io/changes.html