關(guān)于Xstream多個高危漏洞預(yù)警

2021-08-23

一、概要

近日，華為云關(guān)注到Xstream官方發(fā)布安全更新公告，披露在1.4.18之前的版本中存在多處高危漏洞。遠程攻擊者利用漏洞可造成任意代碼執(zhí)行、拒絕服務(wù)攻擊、SSRF跨站請求偽造等危害。

XStream是Java類庫，用來將對象序列化成XML（JSON）或反序列化為對象。華為云提醒使用XStream的用戶及時安排自檢并做好安全加固。

參考鏈接：https://x-stream.github.io/security.html

CVE-2021-39139  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39140  XStream易受拒絕服務(wù)攻擊

CVE-2021-39141  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39144  XStream易受遠程命令執(zhí)行攻擊

CVE-2021-39145  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39146  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39147  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39148  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39149  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39150  可以使用XStream激活服務(wù)器端偽造請求，以從引用內(nèi)部網(wǎng)或本地主機中資源的任意URL訪問數(shù)據(jù)流

CVE-2021-39151  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39152  可以使用XStream激活服務(wù)器端偽造請求，以從引用內(nèi)部網(wǎng)或本地主機中資源的任意URL訪問數(shù)據(jù)流

CVE-2021-39153  XStream易受任意代碼執(zhí)行攻擊

CVE-2021-39154  XStream易受任意代碼執(zhí)行攻擊

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

XStream < 1.4.18

安全版本：

XStream 1.4.18

四、安全建議

目前官方已在高版本中修復(fù)了該漏洞，請受影響的用戶升級至安全版本：

http://x-stream.github.io/download.html

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。