威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

高危!XStream多个高危漏洞安全风险通告
发布时间 :2021年08月23日
分享:

漏洞描述



8月23日,威尼斯432888camCERT监控到XStream官方发布安全更新,修复了CVE-2021-39139在内的多个漏洞(PoC已公开)。XStream是一个常用的能将Java对象转化成XML格式数据并能从XML反序列化的工具,攻击者可以利用相关漏洞,并让目标解析其构造的恶意的XML时,可执行任意代码。并且此次修复的部分漏洞仅需依赖JDK库即可触发反序列化造成任意代码执行。


鉴于该组件使用量较多,漏洞危害较大,建议客户及时进行自查和更新。


漏洞编号


CVE-2021-39139,任意代码执行漏洞,高危
CVE-2021-39140,拒绝服务漏洞,高危
CVE-2021-39141,任意代码执行漏洞,高危
CVE-2021-39144,远程命令执行漏洞,高危
CVE-2021-39145,任意代码执行漏洞,高危
CVE-2021-39146,任意代码执行漏洞,高危
CVE-2021-39147,任意代码执行漏洞,高危
CVE-2021-39148,任意代码执行漏洞,高危
CVE-2021-39149,任意代码执行漏洞,高危
CVE-2021-39150,SSRF漏洞,中危
CVE-2021-39151,任意代码执行漏洞,高危
CVE-2021-39152,SSRF漏洞,中危
CVE-2021-39153,任意代码执行漏洞,高危
CVE-2021-39154,任意代码执行漏洞,高危


受影响的版本

XStream <= 1.4.17


修复建议

1.版本确认:
排查项目jar文件或者依赖配置文件中XStream的版本,如果低于低于1.4.17(包括 1.4.17),则受漏洞影响,需要更新到1.4.18版本。

2.目前官方已经发布安全版本修复相关漏洞,请及时更新到安全版本XStream 1.4.18:

2f3276bc87ff3dec8244b15ea0a12aeb.png

3.XStream以往版本默认使用黑名单进行安全防护,而黑名单极易被绕过。在此次更新中,XStream将默认使用白名单的方式进行过滤,强烈建议客户升级默认使用白名单对应的1.4.18版本。


参考链接

https://x-stream.github.io/security.html
http://x-stream.github.io/changes.html

分享到微信
X