風(fēng)險通告

　　近日，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告，公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行、拒絕服務(wù)、文件刪除以及服務(wù)端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開，建議客戶盡快自查修復(fù)。

　　當(dāng)前漏洞狀態(tài)

　   漏洞描述

　   近日，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告，公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行、拒絕服務(wù)、文件刪除以及服務(wù)端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開，建議客戶盡快自查修復(fù)。

　　XStream 遠程代碼執(zhí)行漏洞：

　　XStream 存在遠程代碼執(zhí)行漏洞，本次共公開5個（CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351）。XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致從遠程服務(wù)器加載的任意代碼的執(zhí)行。

　　以下為CVE-2021-21347的復(fù)現(xiàn)截圖：

　　XStream 遠程命令執(zhí)行漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致服務(wù)器上執(zhí)行本地命令。

　　XStream 拒絕服務(wù)漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流，并替換或注入操縱后的ByteArrayInputStream（或派生類），這可能導(dǎo)致無限循環(huán)，從而導(dǎo)致拒絕服務(wù)。

　　XStream 正則表達式拒絕服務(wù)漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致對惡意正則表達式的執(zhí)行，從而導(dǎo)致拒絕服務(wù)。

　　XStream 服務(wù)端請求偽造漏洞：

　　XStream 存在服務(wù)端請求偽造漏洞（CVE-2021-21342、CVE-2021-21349）。XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導(dǎo)致服務(wù)器端進行偽造請求。

　　XStream 任意文件刪除漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而刪除本地主機上的文件。

　　風(fēng)險等級

　　奇安信 CERT風(fēng)險評級為：高危

　　風(fēng)險等級：藍色（一般事件）

　　影響范圍

　　使用了默認配置的以下版本的XStream受這些漏洞影響：

　　XStream version <= 1.4.15

　　遵循以下鏈接設(shè)置了XStream安全框架，且設(shè)置了最小化的白名單的用戶不受影響：

　　https://x-stream.github.io/security.html#framework

　　處置建議