風險通告
近日,奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告,公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開,建議客戶盡快自查修復。
當前漏洞狀態(tài)
漏洞描述
近日,奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告,公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開,建議客戶盡快自查修復。
XStream 遠程代碼執(zhí)行漏洞:
XStream 存在遠程代碼執(zhí)行漏洞,本次共公開5個(CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351)。XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致從遠程服務器加載的任意代碼的執(zhí)行。
以下為CVE-2021-21347的復現(xiàn)截圖:
XStream 遠程命令執(zhí)行漏洞:
XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致服務器上執(zhí)行本地命令。
XStream 拒絕服務漏洞:
XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流,并替換或注入操縱后的ByteArrayInputStream(或派生類),這可能導致無限循環(huán),從而導致拒絕服務。
XStream 正則表達式拒絕服務漏洞:
XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致對惡意正則表達式的執(zhí)行,從而導致拒絕服務。
XStream 服務端請求偽造漏洞:
XStream 存在服務端請求偽造漏洞(CVE-2021-21342、CVE-2021-21349)。XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致服務器端進行偽造請求。
XStream 任意文件刪除漏洞:
XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而刪除本地主機上的文件。
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
使用了默認配置的以下版本的XStream受這些漏洞影響:
XStream version <= 1.4.15
遵循以下鏈接設置了XStream安全框架,且設置了最小化的白名單的用戶不受影響:
https://x-stream.github.io/security.html#framework
處置建議