服务公告

全部公告 > 安全公告 > 关于Xstream多个高危漏洞预警

关于Xstream多个高危漏洞预警

2021-08-23

一、概要

近日,华为云关注到Xstream官方发布安全更新公告,披露在1.4.18之前的版本中存在多处高危漏洞。远程攻击者利用漏洞可造成任意代码执行、拒绝服务攻击、SSRF跨站请求伪造等危害。

XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。华为云提醒使用XStream的用户及时安排自检并做好安全加固。

参考链接:https://x-stream.github.io/security.html

CVE-2021-39139  XStream易受任意代码执行攻击

CVE-2021-39140  XStream易受拒绝服务攻击

CVE-2021-39141  XStream易受任意代码执行攻击

CVE-2021-39144  XStream易受远程命令执行攻击

CVE-2021-39145  XStream易受任意代码执行攻击

CVE-2021-39146  XStream易受任意代码执行攻击

CVE-2021-39147  XStream易受任意代码执行攻击

CVE-2021-39148  XStream易受任意代码执行攻击

CVE-2021-39149  XStream易受任意代码执行攻击

CVE-2021-39150  可以使用XStream激活服务器端伪造请求,以从引用内部网或本地主机中资源的任意URL访问数据流

CVE-2021-39151  XStream易受任意代码执行攻击

CVE-2021-39152  可以使用XStream激活服务器端伪造请求,以从引用内部网或本地主机中资源的任意URL访问数据流

CVE-2021-39153  XStream易受任意代码执行攻击

CVE-2021-39154  XStream易受任意代码执行攻击

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

XStream < 1.4.18

安全版本:

XStream 1.4.18

四、安全建议

目前官方已在高版本中修复了该漏洞,请受影响的用户升级至安全版本:

http://x-stream.github.io/download.html

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则

注:修复漏洞前请将资料备份,并进行充分测试。