風險通告

　　近日，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告，公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開，建議客戶盡快自查修復。

　　當前漏洞狀態(tài)

　   漏洞描述

　   近日，奇安信CERT監(jiān)測到XStream官方發(fā)布漏洞公告，公開了多個高危漏洞的詳細信息。這些漏洞可允許未授權(quán)攻擊者進行遠程代碼執(zhí)行、拒絕服務、文件刪除以及服務端請求偽造攻擊。鑒于這些漏洞影響較大且POC已公開，建議客戶盡快自查修復。

　　XStream 遠程代碼執(zhí)行漏洞：

　　XStream 存在遠程代碼執(zhí)行漏洞，本次共公開5個（CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351）。XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導致從遠程服務器加載的任意代碼的執(zhí)行。

　　以下為CVE-2021-21347的復現(xiàn)截圖：

　　XStream 遠程命令執(zhí)行漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導致服務器上執(zhí)行本地命令。

　　XStream 拒絕服務漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流，并替換或注入操縱后的ByteArrayInputStream（或派生類），這可能導致無限循環(huán)，從而導致拒絕服務。

　　XStream 正則表達式拒絕服務漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導致對惡意正則表達式的執(zhí)行，從而導致拒絕服務。

　　XStream 服務端請求偽造漏洞：

　　XStream 存在服務端請求偽造漏洞（CVE-2021-21342、CVE-2021-21349）。XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而導致服務器端進行偽造請求。

　　XStream 任意文件刪除漏洞：

　　XStream 在解組時，處理的流包含類型信息，其基于這些類型信息創(chuàng)建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象，從而刪除本地主機上的文件。

　　風險等級

　　奇安信 CERT風險評級為：高危

　　風險等級：藍色（一般事件）

　　影響范圍

　　使用了默認配置的以下版本的XStream受這些漏洞影響：

　　XStream version <= 1.4.15

　　遵循以下鏈接設(shè)置了XStream安全框架，且設(shè)置了最小化的白名單的用戶不受影響：

　　https://x-stream.github.io/security.html#framework

　　處置建議