XStream < 1.4.20 栈缓冲区溢出漏洞

最新推荐文章于 2023-12-12 10:22:20 发布
最新推荐文章于 2023-12-12 10:22:20 发布
阅读量2k 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: 安全 开源 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128478998
版权

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。

在使用集合和映射的哈希码来实现强制递归哈希计算时,远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。

通过在调用应用程序中捕获 StackOverflowError,可以避免此漏洞的这种影响。

该漏洞已存在 POC。

漏洞名称XStream < 1.4.20 栈缓冲区溢出漏洞
漏洞类型栈缓冲区溢出
发现时间2022/12/28
漏洞影响广度一般
MPS编号MPS-2022-58603
CVE编号CVE-2022-41966
CNVD编号-

影响范围

com.thoughtworks.xstream:xstream@(-∞, 1.4.20)

修复方案

升级com.thoughtworks.xstream:xstream到 1.4.20 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-58603

https://github.com/x-stream/xstream/commit/e9151f221b4969fb15b1e946d5d61dcdd459a391

http://x-stream.github.io/CVE-2022-41966.html

https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

在这里插入图片描述

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xstream-1.4.8最齐全的jar
12-26
java对象转xml以及xml转java对象,操作很简单 xml与java互相转换,比较简单的一个工具类,对xml的支持比较完美
xstream-1.4.jar
12-21
xstream jar包,java对象转xml以及xml转java对象,操作很简单。
xstream相关的jar
03-04
xstream所需要的jar包,xstream-1.4.9.jar、dom4j-1.6.1.jar、xpp3_min-1.1.4c.jar
xstream-1.4.2
04-08
xstream-1.4.2
xstream-1.4.2.jar
11-13
xstream-1.4.2.jar,官网上也有,由于本人分没了,希望有分的同志给点分。如果你也每份,请上官网下,地址:http://xstream.codehaus.org/download.html
xstream-1.4.20.jar
最新发布
01-11
xstream-1.4.20.jar
xstream1.4 下载
ab874379178的博客
11-06 1799
xstream1.4.2.jar下载
XStream应用实例
十步杀一人-千里不留行
01-04 914
XStream xStream = new XStream() { @Override protected MapperWrapper wrapMapper(MapperWrapper next){ return new MapperWrapper(next) { @Override public boolean shouldSerializeMe.
xstream1.4.18升级版本问题
qq_29423323的博客
12-12 636
xstream 升级版本问题
XStream升级1.4.18问题
LiJiVV的博客
09-02 8096
XStream2021.08.22升级了1.4.18版本,本次改动很大,看看官网说了啥 大概的意思是说,9年前,XStream整了一个安全框架,用来反序列化时为允许的类型实现黑名单或白名单,在版本1.4.17之前,XStream保留了一个默认黑名单,以拒绝所有类型的Java运行时(用于各种安全攻击),从而保证现有用户的最佳运行时兼容性。然而,这种方法失败了(它每个版本补漏洞就是把已知的攻击加到黑名单中)。经过几个月的研究,仅Java运行时就包含了数十种可用于攻击的类型,甚至不需要查看类路径.
OSCS开源安全周报第24期:XStream 缓冲区溢出漏洞
OSCS开源安全社区
01-03 748
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-47939),Squid 存在整数溢出漏洞(CVE-2022-41318),MeterSphere
Spring总结学习
huochefei的博客
09-01 1013
Spring是开源轻量级java开发框架,能更好的实现高内聚低耦合编程思想,根本使命是解决企业级应用开发的复杂性,即简化java开发 底层都依赖于它的两个核心特性,也就是DI依赖注入(dependency injection,DI)和面向切面编程(aspect-oriented programming,AOP)。 为了降低java开发的复杂性,采用下面关键策略 基于POJO的轻量级和最小侵入性编程; 通过依赖注入和面向接口实现松耦合; 基于切面和惯例进行声明式编程; 通过切面和模板减少样板式代码
Xstream使用教程
tttalk的博客
02-15 1415
xml解析、组装
【WEB安全Xstream最新反序列化poc执行报错问题
hhhhhggghbhh的博客
12-13 525
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题。
XStream简单介绍
gds421570371的专栏
07-04 982
在转载之前,有一些第三方的jar包是必须导入的:      xstream-1.4.1.jar --必须的 kxml2-2.3.0.jar     --如果没有这个的话,在执行PrintWriter instance = new PrintWriter(path);是会抛出异常的 kXML2 is a very fast XML pull-parser implementation 转载:
Java外部jar导入方式
qq_40967423的博客
02-06 655
mvn install:install-file -Dfile=“jar包的绝对路径” -Dpackaging=“文件打包方式” -DgroupId=groupid名 -DartifactId=artifactId名 -Dversion=jar版本。jar包的绝对路径:jar所放的绝对路劲,比如:D:\library\xstream-1.4.20.jar。2:在导航栏中输入CMD打开控制台。artifactId名:比如。groupid名:比如。没有空格会出现这种错误。文件打包方式:jar
XML处理利器:XStream
程序员
02-24 1102
在项目中进行一些类似黑名单、白名单的配置时,需要多个文本文件,很麻烦。本文要通过XStream实现一个XML文件,配置多个功能。本文主要参考《Spring 3.X 企业应用开发实战》第14章内容,加了一下自己的理解,自己的应用。XStream概述XStream是一套简洁易用的开源框架,用于将java对象序列化为XML文件或者XML文件反序列化为java对象,是java对象和XML相互转换的利器。XS
java XStream更新
编程技术提升
03-29 2816
漏洞详情 XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新,修复了高危和严重漏洞如下: Version 1.4.17 CVE-2021-39139 任意代码执行漏洞 CVE-2021-39140 可能导致拒绝服务 CVE-2021-39141 任意代码执行漏洞 CVE-2021-39144 远程命令执行漏洞 CVE-2021-39145 任意代码执行漏洞 CVE-2021-39146 任意代码执行漏洞 CVE-2021-39147 任意代码执行漏
xstream1.4.20 jar包升级
05-18
如果你想升级 xstream 1.4.20jar 包,你可以按照以下步骤进行: 1. 先在 Maven 仓库或者官网下载最新版本的 xstream jar 包。 2. 打开你的 Java 项目,找到原来的 xstream jar 包,一般在 pom.xml 文件中的 dependencies 标签内。 3. 修改原来的 xstream 依赖为最新版本,例如: ``` <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId> <version>1.4.20</version> </dependency> ``` 4. 保存修改后的 pom.xml 文件,重新编译运行项目,确保没有出现错误。 5. 如果项目中有使用到 xstream 的 API,请根据最新版本的 API 进行修改。 注意事项: 1. 升级 jar 包可能会存在兼容性问题,需要谨慎操作。 2. 在升级过程中,建议先备份原来的 jar 包和代码,以防万一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值