風(fēng)險通告

　　近日,，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告,，公開了多個高危漏洞的詳細信息,。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行,、拒絕服務(wù),、文件刪除以及服務(wù)端請求偽造攻擊,。鑒于這些漏洞影響較大且POC已公開,，建議客戶盡快自查修復(fù)。

　　當(dāng)前漏洞狀態(tài)

　   漏洞描述

　   近日,，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告，公開了多個高危漏洞的詳細信息,。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行、拒絕服務(wù),、文件刪除以及服務(wù)端請求偽造攻擊,。鑒于這些漏洞影響較大且POC已公開,，建議客戶盡快自查修復(fù),。

　　XStream 遠程代碼執(zhí)行漏洞：

　　XStream 存在遠程代碼執(zhí)行漏洞,，本次共公開5個（CVE-2021-21344 ,、CVE-2021-21346 、CVE-2021-21347 ,、CVE-2021-21350 、CVE-2021-21351）,。XStream 在解組時，處理的流包含類型信息,，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,，從而導(dǎo)致從遠程服務(wù)器加載的任意代碼的執(zhí)行,。

　　以下為CVE-2021-21347的復(fù)現(xiàn)截圖：

　　XStream 遠程命令執(zhí)行漏洞：

　　XStream 在解組時,，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例,。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致服務(wù)器上執(zhí)行本地命令,。

　　XStream 拒絕服務(wù)漏洞：

　　XStream 在解組時，處理的流包含類型信息,，其基于這些類型信息創(chuàng)建新的實例,。攻擊者可以操縱處理后的輸入流，并替換或注入操縱后的ByteArrayInputStream（或派生類）,，這可能導(dǎo)致無限循環(huán),，從而導(dǎo)致拒絕服務(wù),。

　　XStream 正則表達式拒絕服務(wù)漏洞：

　　XStream 在解組時,，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例,。攻擊者可以操縱處理后的輸入流并替換或注入對象,，從而導(dǎo)致對惡意正則表達式的執(zhí)行,，從而導(dǎo)致拒絕服務(wù),。

　　XStream 服務(wù)端請求偽造漏洞：

　　XStream 存在服務(wù)端請求偽造漏洞（CVE-2021-21342,、CVE-2021-21349）,。XStream 在解組時，處理的流包含類型信息,，其基于這些類型信息創(chuàng)建新的實例,。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致服務(wù)器端進行偽造請求,。

　　XStream 任意文件刪除漏洞：

　　XStream 在解組時,，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,，從而刪除本地主機上的文件,。

　　風(fēng)險等級

　　奇安信 CERT風(fēng)險評級為：高危

　　風(fēng)險等級：藍色（一般事件）

　　影響范圍

　　使用了默認配置的以下版本的XStream受這些漏洞影響：

　　XStream version <= 1.4.15

　　遵循以下鏈接設(shè)置了XStream安全框架，且設(shè)置了最小化的白名單的用戶不受影響：

　　https://x-stream.github.io/security.html#framework

　　處置建議