XStream 多个高危漏洞

2021-03-26 8,042


1. 通告信息


2021年315日,安识科技A-Team团队监测到 Xstream官方发布了Xstream 安全更新,披露了总计十一个高危漏洞。攻击者通过利用这些漏洞可以造成远程代码执行、服务器端请求伪造,拒绝服务等恶意操作。安识科技建议广大用户及时将Xstream升级到最新版本,以免遭受漏洞攻击。

 

2. 漏洞概述   


XStream是一个Java对象和XML相互转换的工具,提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化(这种序列化和Java对象的序列化技术有着本质的区别)。

 

CVE-2021-21341: 拒绝服务漏洞

攻击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。

 

CVE-2021-21342: 服务端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。

 

CVE-2021-21343: 任意文件删除漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。

 

CVE-2021-21344: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-21345: 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-21346: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-21347: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-21348: 拒绝服务漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。

 

CVE-2021-21349: 服务端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

 

CVE-2021-21350: 代码执行漏洞

攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。

 

CVE-2021-21351: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

3. 漏洞危害


攻击者通过利用这些漏洞可以造成远程代码执行、服务器端请求伪造,拒绝服务,可能进一步控制服务器,存在极大的安全隐患。


4. 影响版本


漏洞影响的版本包括:

Xstream: <= 1.4.15

 

5. 解决方案


安识科技建议升级XStream到最新版本,或按照官方提供的缓解措施进行修复:

https://x-stream.github.io/security.html

 

6. 时间轴


-2021年313 XStream 官方发布安全公告

-2021年315 安识科技A-Team团队根据官网公告分析

-2021年315 安识科技A-Team团队发布安全通告

 


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/155826.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号