《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Xstream公開(kāi)多個(gè)高危漏洞,,可被實(shí)施遠(yuǎn)程代碼執(zhí)行

Xstream公開(kāi)多個(gè)高危漏洞,,可被實(shí)施遠(yuǎn)程代碼執(zhí)行

2021-03-16
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參

  風(fēng)險(xiǎn)通告

  近日,,奇安信CERT監(jiān)測(cè)到XStream官方發(fā)布漏洞公告,,公開(kāi)了多個(gè)高危漏洞的詳細(xì)信息,。這些漏洞可允許未授權(quán)攻擊者進(jìn)行遠(yuǎn)程代碼執(zhí)行,、拒絕服務(wù),、文件刪除以及服務(wù)端請(qǐng)求偽造攻擊。鑒于這些漏洞影響較大且POC已公開(kāi),,建議客戶盡快自查修復(fù),。

  當(dāng)前漏洞狀態(tài)

 微信截圖_20210316133714.png

    漏洞描述

    近日,奇安信CERT監(jiān)測(cè)到XStream官方發(fā)布漏洞公告,,公開(kāi)了多個(gè)高危漏洞的詳細(xì)信息,。這些漏洞可允許未授權(quán)攻擊者進(jìn)行遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù),、文件刪除以及服務(wù)端請(qǐng)求偽造攻擊,。鑒于這些漏洞影響較大且POC已公開(kāi),建議客戶盡快自查修復(fù),。

  XStream 遠(yuǎn)程代碼執(zhí)行漏洞:

  XStream 存在遠(yuǎn)程代碼執(zhí)行漏洞,,本次共公開(kāi)5個(gè)(CVE-2021-21344 ,、CVE-2021-21346 、CVE-2021-21347 ,、CVE-2021-21350 、CVE-2021-21351),。XStream 在解組時(shí),,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實(shí)例,。攻擊者可以操縱處理后的輸入流并替換或注入對(duì)象,,從而導(dǎo)致從遠(yuǎn)程服務(wù)器加載的任意代碼的執(zhí)行。

  以下為CVE-2021-21347的復(fù)現(xiàn)截圖:

微信圖片_20210316133553.png

  XStream 遠(yuǎn)程命令執(zhí)行漏洞:

  XStream 在解組時(shí),,處理的流包含類型信息,,其基于這些類型信息創(chuàng)建新的實(shí)例。攻擊者可以操縱處理后的輸入流并替換或注入對(duì)象,,從而導(dǎo)致服務(wù)器上執(zhí)行本地命令,。

  XStream 拒絕服務(wù)漏洞:

  XStream 在解組時(shí),處理的流包含類型信息,,其基于這些類型信息創(chuàng)建新的實(shí)例,。攻擊者可以操縱處理后的輸入流,并替換或注入操縱后的ByteArrayInputStream(或派生類),,這可能導(dǎo)致無(wú)限循環(huán),,從而導(dǎo)致拒絕服務(wù)。

  XStream 正則表達(dá)式拒絕服務(wù)漏洞:

  XStream 在解組時(shí),,處理的流包含類型信息,,其基于這些類型信息創(chuàng)建新的實(shí)例。攻擊者可以操縱處理后的輸入流并替換或注入對(duì)象,,從而導(dǎo)致對(duì)惡意正則表達(dá)式的執(zhí)行,,從而導(dǎo)致拒絕服務(wù)。

  XStream 服務(wù)端請(qǐng)求偽造漏洞:

  XStream 存在服務(wù)端請(qǐng)求偽造漏洞(CVE-2021-21342,、CVE-2021-21349),。XStream 在解組時(shí),處理的流包含類型信息,,其基于這些類型信息創(chuàng)建新的實(shí)例,。攻擊者可以操縱處理后的輸入流并替換或注入對(duì)象,從而導(dǎo)致服務(wù)器端進(jìn)行偽造請(qǐng)求,。

  XStream 任意文件刪除漏洞:

  XStream 在解組時(shí),,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實(shí)例,。攻擊者可以操縱處理后的輸入流并替換或注入對(duì)象,,從而刪除本地主機(jī)上的文件,。

  風(fēng)險(xiǎn)等級(jí)

  奇安信 CERT風(fēng)險(xiǎn)評(píng)級(jí)為:高危

  風(fēng)險(xiǎn)等級(jí):藍(lán)色(一般事件)

  影響范圍

  使用了默認(rèn)配置的以下版本的XStream受這些漏洞影響:

  XStream version <= 1.4.15

  遵循以下鏈接設(shè)置了XStream安全框架,且設(shè)置了最小化的白名單的用戶不受影響:

  https://x-stream.github.io/security.html#framework

  處置建議

 微信截圖_20210316133926.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。