XStream漏洞升级版本

于 2024-10-09 16:45:30 发布
阅读量106 收藏
点赞数 2
分类专栏: 运维漏洞修复 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuchenai/article/details/142789209
版权

1、场景,投产漏洞扫描修复
在这里插入图片描述

2、修复建议

针对使用到 XStream 组件的 web 服务升级至最新版本:http://x-stream.github.io/changes.html

受影响的版本:
XStream <= 1.4.17

安全版本:
XStream >= 1.4.18

3、修复代码
(1)查找依赖在那个pom.xml引入的,在pom.xml里没找到可以在 idea tearminal 中执行maven命令查找


mvn dependency:tree -Dincludes=com.thoughtworks.xstream

在这里插入图片描述
(2)排除spring-cloud-starter-netflix-eureka-client包里的子依赖,然后单独引入xstream版本

    <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>com.thoughtworks.xstream</groupId>
                    <artifactId>xstream</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!--XStream 高危漏洞修复-->
            <dependency>
                <groupId>com.thoughtworks.xstream</groupId>
                <artifactId>xstream</artifactId>
                <version>1.4.19</version>
            </dependency>

4、可以看到打完包后的应用服务jar包里XStream包已经升级为1.4.19,漏洞修复完成
在这里插入图片描述

栀郁
关注
专栏目录
腾讯蓝军安全通告:XStream修复14个安全漏洞
Tencent_SRC的博客
08-23 1112
文|腾讯蓝军1. 漏洞概述近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可...
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发...
XStream升级1.4.18问题
LiJiVV的博客
09-02 8564
XStream于2021.08.22升级了1.4.18版本,本次改动很大,看看官网说了啥 大概的意思是说,9年前,XStream整了一个安全框架,用来反序列化时为允许的类型实现黑名单或白名单,在版本1.4.17之前,XStream保留了一个默认黑名单,以拒绝所有类型的Java运行时(用于各种安全攻击),从而保证现有用户的最佳运行时兼容性。然而,这种方法失败了(它每个版本漏洞就是把已知的攻击加到黑名单中)。经过几个月的研究,仅Java运行时就包含了数十种可用于攻击的类型,甚至不需要查看类路径.
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 3251
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
XStream 组件漏洞修复
悟●禅●酒的专栏
04-06 2329
风险描述 XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。 XStream 官方发布安全公告,披露多个反序列化漏洞,包括: 1、拒绝服务漏洞(CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。 2、服务端请求伪造漏洞(CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
【组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 2911
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
XStream 代码问题漏洞(CVE-2021-21345)
FCH的博客
08-07 282
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1441
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞。远程攻
java XStream更新
编程技术提升
03-29 3134
漏洞详情 XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新,修复了高危和严重漏洞如下: Version 1.4.17 CVE-2021-39139 任意代码执行漏洞 CVE-2021-39140 可能导致拒绝服务 CVE-2021-39141 任意代码执行漏洞 CVE-2021-39144 远程命令执行漏洞 CVE-2021-39145 任意代码执行漏洞 CVE-2021-39146 任意代码执行漏洞 CVE-2021-39147 任意代码执行漏
自己用,漏洞修复工作--liunx小版本升级postgresql、XStream、mysql-connector-java、Jackson-databind等
weixin_43962622的博客
06-09 532
自己用,
xstream-1.4.20.jar
01-11
xstream-1.4.20.jar
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 555
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
国外电商系统开发-运维系统文件下载
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
10-08 170
国外电商系统开发-运维系统文件下载
运维自动化shell脚本总结
大黄鸭在发光的专栏
10-03 427
Shell脚本是一系列命令的集合,通常用于自动化执行任务。
同城O2O系统源码与跑腿配送平台的架构设计与开发方案详解
meihusdk的博客
10-08 437
同城O2O系统与跑腿配送平台的开发,既是技术的挑战,也是商业机会的探索。通过合理的架构设计与清晰的开发方案,开发者可以构建出高效、稳定且易于扩展的平台,为用户提供更为便捷的服务。
软件项目开发流程与团队分工整体认知——基于《信息系统项目管理师教程》(需求分析、系统设计、开发、测试、部署与运维、开发工具与管理软件)
最新发布
项目git同名HuYaochao,未入职
10-09 806
软件项目开发流程与团队分工整体认知——基于《信息系统项目管理师教程》(需求分析、系统设计、开发、测试、部署与运维、开发工具与管理软件)
秋招内推2025-招联金融
2401_85729791的博客
10-06 264
直接扫下方二维码,或点击内推官网https://wecruit.hotjob.cn/SU61025e262f9d247b98e0a2c2/mc/position/campus,使用内推码 igcefb 投递)后台开发 前端开发 数据开发 数据运营 算法开发 技术运维 软件测试 产品策划 产品运营 客户体验管理 风险管理 资产管理。【关于招联金融】【福利待遇】简历投递:9月2开始。在线笔试:10月8日。
kubernetes集群公共服务 Harbor
Java_fenxiang的博客
10-05 1026
首先,还是需要新创建一个虚拟机,就像之前一样,然后启动虚拟机,设置主机名和网络,网关,DNS等。接下来检查防火墙,selinux是否关闭,以及是否做了时钟同步。一、 docker-ce安装1.1 获取YUM源使用阿里云开源软件镜像站。登录后复制 # wget https://mirrors.aliyun.com/dock...
xstream漏洞有哪些
04-28
XStream 是一个 Java 序列化和反序列化库,它可以将 Java 对象序列化为 XML 或 JSON 格式,也可以将 XML 或 JSON 反序列化为 Java 对象。但是,由于 XStream 序列化和反序列化的机制存在一些缺陷,可能会导致安全漏洞。以下是一些已知的 XStream 漏洞: 1. XStream 反序列化漏洞(CVE-2013-7285):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 2. XStream 类型转换漏洞(CVE-2013-7286):攻击者可以构造恶意 XML 文件,通过类型转换漏洞实现任意代码执行。 3. XStream DTD 漏洞:攻击者可以通过在 XML 文件中注入恶意 DTD,实现任意文件读取和 SSRF 攻击。 4. XStream 集合类反序列化漏洞(CVE-2017-7957):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 5. XStream 反射漏洞(CVE-2018-2628):攻击者可以构造恶意 XML 文件,通过反射漏洞实现任意代码执行。 总之,使用 XStream 序列化和反序列化 Java 对象时,需要注意安全性,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

栀郁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值