XStream 组件漏洞修复

最新推荐文章于 2024-08-08 18:50:50 发布
最新推荐文章于 2024-08-08 18:50:50 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 错误提示 文章标签: java 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengain/article/details/115467308
版权

风险描述

XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。

XStream 官方发布安全公告,披露多个反序列化漏洞,包括:
1、拒绝服务漏洞(CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。
2、服务端请求伪造漏洞(CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
3、任意文件删除漏洞(CVE-2021-21343)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而删除本地主机上的任意文件。
4、利用代码执行漏洞(CVE-2021-21344 至CVE-2021-21347、CVE-2021-21350/21351)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

影响范围

XStream 版本<= 1.4.15

处置方法

排查方式

该库通常封装到Java 程序中引用,解包后能够看到xstream-1.4.*.jar文件。优先排查使用Java 开发且为XML 格式的应用系统。

修复更新方式

下载1.4.16 及以上版本的jar 包并替换原文件,新版本下载地址:https://x-stream.github.io/download.html

悟●禅●酒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OSCS开源安全周报第24期:XStream 栈缓冲区溢出漏洞
OSCS开源安全社区
01-03 801
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-47939),Squid 存在整数溢出漏洞(CVE-2022-41318),MeterSphere
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5717
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 3213
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
Xstream反序列化漏洞
最新发布
qq_50296568的博客
08-08 701
Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化为Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2342
CVE-2021-29505反序列化代码执行漏洞
Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析
Ho1aAs‘s Blog
08-12 1911
# 漏洞简介 当XStream反序列化了一个动态代理类,再调用该动态代理类所声明的接口的方法时,就能够触发任意命令执行 > XStream序列化和反序列化分析:https://ho1aas.blog.csdn.net/article/details/126250860 > 动态代理:https://ho1aas.blog.csdn.net/article/details/121647387 # 影响版本 XStream 1.4-1.4.6、1.4.10............
组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 2888
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
xstream序列化与反序列化
06-07
xstream中xml与javaBean的互转
xstream-1.3.1.jar
03-14
XStream 1.3.1版本是在XStream的长期发展过程中的一次重要更新,可能包含了一些bug修复、性能优化以及新的特性和改进。 XStream的工作原理主要基于两个关键概念:转换器(Converter)和绑定(Aliasing)。转换器是...
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505).pdf
09-18
在2021年5月14日,XStream官方发布了安全更新,修复了一个由TSRC(腾讯安全应急响应中心)白帽黑客上报的任意代码执行漏洞,即CVE-2021-29505。 该漏洞最初由于官方链接错误,使得许多用户未能及时注意到这一安全...
Web框架漏洞--Struts2 漏洞S2-052
qq_54713392的博客
05-08 871
Web框架漏洞–Struts2 漏洞S2-052 漏洞利用: Apache Struts2的REST插件存在远程代码执行的高危漏洞,Struts2 REST插件的XStream插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)使用vulhub靶场,进入到s2-052
XStream 反序列化命令执行漏洞(CVE-2021-21351)
EC_Carrot的博客
08-21 1157
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。 漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
XStream 代码问题漏洞(CVE-2021-21345)
FCH的博客
08-07 267
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
XStream 反序列化命令执行漏洞复现(CVE-2021-21351)
Vitaminapple的博客
04-19 607
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
VMware NSX Manager XStream unauthenticated反序列化漏洞 CVE-2024-39144 已亲自复现
04-15 645
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
【已复现】XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告
smellycat000的专栏
12-28 4937
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具,用来将对象序列化成XML(JSON)或将XML反序列化为对象,并提供所有的基础类型、数组、集合等类型直接转换的支持。近日,奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966),XStream在将XML反序列化为对象时存在堆栈溢出,未...
服务器漏洞文件删除漏洞,漏洞资源|XStream随意文件删除/服务器端请求仿冒漏洞风险性通知(CVE-2021-26259,CVE-2021-26258)...
weixin_35182625的博客
08-03 492
近日,腾讯云服务安全运营管理中心检测到,XStream官方发布有关XStream反序列化漏洞的风险性通知(漏洞序号:CVE-2020-26259,CVE-2020-26258),假如编码中应用了XStream,未受权的远程控制攻击者,可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。为防止您的业务流程受影响,腾讯云服务安全性建议立即进行安全性自纠自查,如在受影响范畴,请您立即开展升级修...
XStream CVE最新漏洞
pandamig的博客
04-12 1383
XStream CVE漏洞 啦啦啦,我只是官网搬运工:https://x-stream.github.io/index.html 文章目录XStream CVE漏洞CVE-2021-21341CVE-2021-21342CVE-2021-21343CVE-2021-21344CVE-2021-21345CVE-2021-21346CVE-2021-21347CVE-2021-21348CVE-2021-21349CVE-2021-21350CVE-2021-21351 CVE-2021-21341 漏洞
xstream漏洞有哪些
04-28
XStream 是一个 Java 序列化和反序列化库,它可以将 Java 对象序列化为 XML 或 JSON 格式,也可以将 XML 或 JSON 反序列化为 Java 对象。但是,由于 XStream 序列化和反序列化的机制存在一些缺陷,可能会导致安全漏洞。以下是一些已知的 XStream 漏洞: 1. XStream 反序列化漏洞(CVE-2013-7285):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 2. XStream 类型转换漏洞(CVE-2013-7286):攻击者可以构造恶意 XML 文件,通过类型转换漏洞实现任意代码执行。 3. XStream DTD 漏洞:攻击者可以通过在 XML 文件中注入恶意 DTD,实现任意文件读取和 SSRF 攻击。 4. XStream 集合类反序列化漏洞(CVE-2017-7957):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 5. XStream 反射漏洞(CVE-2018-2628):攻击者可以构造恶意 XML 文件,通过反射漏洞实现任意代码执行。 总之,使用 XStream 序列化和反序列化 Java 对象时,需要注意安全性,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悟●禅●酒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值