《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > Xstream公開多個高危漏洞,可被實施遠程代碼執(zhí)行

Xstream公開多個高危漏洞,可被實施遠程代碼執(zhí)行

2021-03-16
來源:互聯(lián)網安全內參

  風險通告

  近日,奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告,公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開,建議客戶盡快自查修復。

  當前漏洞狀態(tài)

 微信截圖_20210316133714.png

    漏洞描述

    近日,奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告,公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開,建議客戶盡快自查修復。

  XStream 遠程代碼執(zhí)行漏洞:

  XStream 存在遠程代碼執(zhí)行漏洞,本次共公開5個(CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351)。XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致從遠程服務器加載的任意代碼的執(zhí)行。

  以下為CVE-2021-21347的復現(xiàn)截圖:

微信圖片_20210316133553.png

  XStream 遠程命令執(zhí)行漏洞:

  XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致服務器上執(zhí)行本地命令。

  XStream 拒絕服務漏洞:

  XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流,并替換或注入操縱后的ByteArrayInputStream(或派生類),這可能導致無限循環(huán),從而導致拒絕服務。

  XStream 正則表達式拒絕服務漏洞:

  XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致對惡意正則表達式的執(zhí)行,從而導致拒絕服務。

  XStream 服務端請求偽造漏洞:

  XStream 存在服務端請求偽造漏洞(CVE-2021-21342、CVE-2021-21349)。XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致服務器端進行偽造請求。

  XStream 任意文件刪除漏洞:

  XStream 在解組時,處理的流包含類型信息,其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而刪除本地主機上的文件。

  風險等級

  奇安信 CERT風險評級為:高危

  風險等級:藍色(一般事件)

  影響范圍

  使用了默認配置的以下版本的XStream受這些漏洞影響:

  XStream version <= 1.4.15

  遵循以下鏈接設置了XStream安全框架,且設置了最小化的白名單的用戶不受影響:

  https://x-stream.github.io/security.html#framework

  處置建議

 微信截圖_20210316133926.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。