五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

服務公告

全部公告 > 安全公告 > XStream反序列化漏洞預警(CVE-2020-26258/26259)

XStream反序列化漏洞預警(CVE-2020-26258/26259)

2020-12-14

一、概要

近日,華為云關注到XStream官方發(fā)布安全公告,披露在1.4.15之前的版本中存在反序列化漏洞(CVE-2020-26258/26259)。XStream是Java類庫,用來將對象序列化成XML (JSON)或反序列化為對象。攻擊者利用漏洞可造成任意文件刪除/服務端請求偽造,目前業(yè)界已有相關POC公開,華為云提醒使用XStream的用戶盡快安排自檢并做好安全加固。

參考鏈接:

http://x-stream.github.io/CVE-2020-26258.html

http://x-stream.github.io/CVE-2020-26259.html

二、威脅級別

威脅級別:【嚴重】

(說明:威脅級別共四級:一般、重要、嚴重、緊急)

三、漏洞影響范圍

影響版本:

XStream < 1.4.15

安全版本:

XStream 1.4.15

四、漏洞處置

目前官方已在最新版本中修復了該漏洞,請受影響的用戶及時升級至安全版本。

http://x-stream.github.io/download.html

華為云WAF 具備對該漏洞防御能力。華為云WAF用戶將“Web基礎防護”狀態(tài)設置為“攔截”模式,具體方法請參見配置Web基礎防護規(guī)則(link:https://support.huaweicloud.com/usermanual-waf/waf_01_0008.html )。

注:修復漏洞前請將資料,并進行充分測試。