一、漏洞概述
近日,绿盟科技监测到XStream官方发布安全公告,公开了XStream中的14个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、远程执行任意代码。
XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。
CVE-2021-39140:
攻击者可以操纵已处理的输入流并替换或注入对象,这会导致一个无休止的循环,从而造成拒绝服务攻击。
CVE-2021-39144:
攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上远程执行命令。
CVE-2021-39139、CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154:
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-39150、CVE-2021-39152:
攻击者可以操纵已处理的输入流并替换或注入对象,从而实现服务端请求伪造。
参考链接:https://x-stream.github.io/security.html#workaround
二、影响范围
受影响版本
- Xstream <= 1.4.17
不受影响版本
- Xstream = 1.4.18
三、漏洞防护
- 官方升级
目前官方已在最新版本中采用白名单的方式修复了以上漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://x-stream.github.io/download.html
- 临时防护措施
若相关用户暂时无法进行升级操作,也可使用官方提供的方案进行临时缓解:
https://x-stream.github.io/security.html#example
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。