• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 其他
  • -
    • XStream多個安全漏洞通告
    • CNNVD編號:未知
    • 危害等級: 未知
    • CVE編號:未知
    • 漏洞類型: 未知
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-08-24
    • 更新時間:2021-08-24

    漏洞簡介

    1、組件介紹

    XStream是Java類庫,用來將對象序列化成XML(JSON)或反序列化為對象。XStream在運行時使用Java反射機制對要進行序列化的對象樹的結(jié)構(gòu)進行探索,并不需要對對象作出修改。XStream可以序列化內(nèi)部字段,包括私private和final字段,并且支持非公開類以及內(nèi)部類。在缺省情況下,XStream不需要配置映射關(guān)系,對象和字段將映射為同名XML元素。但是當對象和字段名與XML中的元素名不同時,XStream支持指定別名。XStream支持以方法調(diào)用的方式,或是Java標注的方式指定別名。XStream在進行數(shù)據(jù)類型轉(zhuǎn)換時,使用系統(tǒng)缺省的類型轉(zhuǎn)換器。同時,也支持用戶自定義的類型轉(zhuǎn)換器。

    2、漏洞簡介

    近日,深信服安全團隊監(jiān)測到一則XStream官方發(fā)布安全補丁的通告,共修復了14個安全漏洞,其中包含12個高危漏洞的信息。

    序號

    漏洞名

    漏洞編號

    嚴重等級

    影響版本


    1

    XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39139

    高危

    <1.4.18

    2
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39141

    高危
    3
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39144

    		高危
    4
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39145

    		高危
    5
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39146

    		高危
    6
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39147

    		高危
    7
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39148

    		高危
    8
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39149

    		高危
    9
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39151

    		高危
    10
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39153

    		高危
    11
    		XStream 任意代碼執(zhí)行漏洞

    CVE-2021-39154

    		高危

    12

    XStream SSRF漏洞

    CVE-2021-39150

    		中危
    13
    		XStream SSRF漏洞

    CVE-2021-39152

    		中危

    14

    XStream 拒絕服務漏洞

    CVE-2021-39140

    		高危


    漏洞公示

    漏洞1:CVE-2021-39139 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞2:CVE-2021-39140 XStream拒絕服務攻擊漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并注入特定的對象,這可能會導致無限循環(huán),從而引起拒絕服務。


    漏洞3:CVE-2021-39141 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞4:CVE-2021-39144 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞5:CVE-2021-39145 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞6:CVE-2021-39146 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞7:CVE-2021-39147 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞8:CVE-2021-39148 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞9:CVE-2021-39149 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞10:CVE-2021-39150 XStream SSRF漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此導致服務器端偽造請求。


    漏洞11:CVE-2021-39151 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞12:CVE-2021-39152 XStream SSRF漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此導致服務器端偽造請求。


    漏洞13:CVE-2021-39153 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。


    漏洞14:CVE-2021-39154 XStream任意代碼執(zhí)行漏洞

        攻擊者通過構(gòu)造惡意的XML文件,可以繞過XStream的黑名單機制,從而觸發(fā)反序列化,導致反序列化代碼執(zhí)行,并因此造成任意代碼執(zhí)行的安全問題。

    受影響實體

    XStream 是一種用來將對象序列化成XML文件的代碼庫,其在全球范圍內(nèi)應用廣泛。由于XStream的歷史版本多采用黑名單的方式來防護安全問題,從而導致歷史版本多次被繞過而引發(fā)安全問題。本次通告的多個漏洞將影響XStream小于1.4.18的版本。

    目前受影響的XStream版本:

    XStream < 1.4.18

    補丁

    1、官方修復建議

    當前官方已發(fā)布最新版本已修復漏洞,建議受影響的用戶及時更新官方的最新版本。鏈接如下:

    https://x-stream.github.io/news.html

    若由于特殊情況,暫時無法升級到最新版本,低版本用戶可根據(jù)官方建議進行加固。鏈接如下:

    https://x-stream.github.io/security.html#example


    2、深信服解決方案

    深信服下一代防火墻AF】 預計2021年8月25日可防御這些漏洞,建議用戶將深信服下一代防火墻開啟IPS防護策略,并更新最新安全防護規(guī)則,即可輕松抵御此高危風險。

    深信服安全感知管理平臺SIP】預計2021年8月25日可檢測這些漏洞,結(jié)合云端實時熱點高危/緊急漏洞信息,可快速檢出業(yè)務場景下的這些漏洞,并可聯(lián)動【深信服下一代防火墻AF】等產(chǎn)品實現(xiàn)對攻擊者IP的封堵。