腾讯蓝军安全通告:XStream修复14个安全漏洞

于 2021-08-23 09:00:00 发布
阅读量1k 收藏
点赞数
文章标签: 安全漏洞 安全 html less css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tencent_SRC/article/details/119881221
版权

|腾讯蓝军

 1. 漏洞概述 

近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可以绕过XStream的黑名单拦截,最终仅需依赖JDK库即可触发反序列化造成任意代码执行。

TSRC与XStream维护者多次探讨黑名单过滤修复方案的缺陷,目前XStream官方已将1.4.18版本修改成白名单过滤方式,建议大家及时更新到最新版以规避历史安全漏洞。

 2. 时间线 

2021/05

三位TSRC白帽子在研究XStream安全漏洞时,陆续发现存在多个黑名单绕过,随后立即向TSRC报告漏洞细节

2021/05

TSRC第一时间复现漏洞后,立即代白帽子们向XStream官方提交报告

2021/05

XStream官方确认漏洞报告

2021/05

鉴于黑名单存在持续被绕过的风险,TSRC与XStream维护者多次探讨黑名单过滤修复方案的缺陷后,XStream修改成白名单过滤方式

2021/08/22

XStream官方发布重要安全更新,修复14个安全漏洞

最低0.47元/天 解锁文章
腾讯安全应急响应中心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
TSRC暑期专项众测启动,4倍奖励,多倍快乐!
07-19 352
暑期已至,TSRC发起暑期专项众测,并准备丰厚奖励。三重福利、四倍奖励。这个暑假,让我们一起全面出击,守护安全!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间一期时间:即日起~2024/9/218:00二期时间:敬请期待‍‍活...
博客
【活动】TSRC反爬虫专项正式启动!
06-21 1404
活动时间即日起~2024年7月5日 18:00测试范围:微信公众号、腾讯新闻等测试域名:mp.weixin.qq.com微信公众号相关接口1.微信公众号文章列表2.历史文章3.文章详细内容注:详情报名后公布。反爬虫专项将不定期上线新业务,敬请关注后续公告。标准及奖励外部爬虫有效标准:攻击手法:纯协议脚本、模拟器或真机等有效爬取数量:按照业务规则去重后的公众号文章数量同类型工具(协议挂...
博客
腾讯元宝专项众测启动,多重奖励等你来拿!
06-03 712
工作生活超强辅助,解锁你的全能搭子!腾讯元宝APP已于5.30上线啦!腾讯元宝,基于混元大模型的AI助手,期望通过AI能力帮助用户在办公、学习、创作、生活等领域提供效率和生活辅助,现已正式上线应用商店,欢迎大家下载体验。点击链接或扫码下载????下载链接:https://hunyuan.tencent.com/为了保障腾讯元宝的安全,针对混元资产下的相关漏洞及情报,TSRC特别发起专项征集活动,诚邀大家...
博客
端午专项众测开冲,4倍奖励等你来拿!
05-22 431
端午节快到啦,TSRC发起专项众测活动,给你4倍奖励、多倍快乐!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间2024.5.22 10:00~2024/5/3118:00活动范围本次众测仅针对特定范围业务,具体范围如下:针对财...
博客
Llama-Code Shield解读:大模型代码安全护盾解析
05-16 767
引言大模型目前被广泛用于生成代码数据,能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞,也成了悬在头顶的达摩克利斯之剑。最近,Llama-3的问世,不仅带来了新的代码生成能力,更配备了Code Shield这一安全检测利器,为LLM生成的代码筑起了一道坚固的防线。腾讯朱雀实验室基于Llama-3开源的Code Shield项目,进行了相关的技术分析和实验测试。总体而言,Code Shiel...
博客
警惕Hugging Face开源组件风险被利用于大模型供应链攻击
11-03 186
文|腾讯朱雀实验室Alien、Nicky导语近日,腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性,可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时,会导致PC/服务器被入侵,同时在大模型预训练、微调等场景中,最终还可能导致大模型参数被窃取或篡改。朱雀在此建议大家及时排查,同时也将持续进行大模型基础设施安全研究,分...
博客
协同共建|深入分析应用密钥安全治理之术
11-11 796
文|应用漏洞扫描Oteam、PCG安全团队MartinzhouI. 背景当前,各类开放平台、依托云原生技术模式的PaaS/SaaS服务涌现,密钥(Credentials / Secrets)成了跨服务、跨平台调用认证的关键一环。短短几十个字符,背后往往通向上万台CVM或者整个业务数据。好似露出洋面的一角冰山,稍往下深挖,底下可能就是牵动企业安全命脉的“金山银山”。当前,针对个人用户登录密码的保护技...
博客
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
11-05 1540
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
博客
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
11-03 2372
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
博客
Ghostscript沙箱绕过(CVE-2021-3781)分析
10-29 1403
文|腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被诸多著名应用(如ImageMagick)所使用。9月5日,海外安全研...
博客
关于BGP安全那些事儿
10-19 3885
文|宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午,Facebook公司网络出现重大故障,故障持续了6个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。(...
博客
紧急任务|鹅厂绝密档案失窃,请立即追回!
10-18 424
2050年,高度发达的赛博世界没有给世界带来安宁,无数狂热的黑客组织通过招募的各国特工,潜入目标内部,兴风作浪,试图控制际遇现代网络系统运行的整个系统。然而冥冥之中暗含着转机,在神秘人的牵...
博客
Web应用组件自动化发现的探索
09-17 334
文|宙斯盾流量安全分析团队彦修引子提到Web指纹识别,大家并不陌生,相关的项目汗牛充栋,比如知名的Wappalyzer、WhatWeb等。而在运营上,各企业也都大同小异,利用提前构建好指纹...
博客
云原生|容器和应用安全运营实践思考
09-07 1876
文| 腾讯“洋葱”入侵对抗团队bghost前言随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s...
博客
自动化数据分析下的威胁发现
08-16 389
文|宙斯盾流量安全分析团队彦修不记得多早之前,大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章(原文链接),或许有读者会问,这么精确的时间我为什...
博客
可信安全网络 —— 安全左移之DDoS对抗
07-28 666
文|宙斯盾DDoS防护团队RainsDDoS的开始互联网对人类文明的进步影响,不亚于蒸汽机发明对人类文明的影响。当人们享受着网络技术进步给生活带来的便利时,也经历了由于底层协议在设计之初对...
博客
攻防启示:Chromium组件风险剖析与收敛
07-15 811
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
博客
再谈xSRC开源暨如何建设自己的漏洞收集平台
07-14 1371
文|芝泉昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子...
博客
腾讯 SOAR 的安全运营探索
07-09 1564
文|腾讯“洋葱”入侵对抗团队Conan、Uny背景作为一名安全应急人员,每天要处理安全系统的大量告警,据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警,而大部分是无效告警,其中...
博客
腾讯自研HIDS「洋葱」后台上云架构演进实践
06-17 545
腾讯洋葱EDR团队Online、Jaylam导语“洋葱”系统是腾讯自研的主机入侵检测系统(HIDS),能够实时采集服务器上的各种行为并进行实时关联分析和落地存储,承载公司所有的服务器、虚...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值