腾讯蓝军安全通告:XStream修复14个安全漏洞
文|腾讯蓝军
1. 漏洞概述
近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可以绕过XStream的黑名单拦截,最终仅需依赖JDK库即可触发反序列化造成任意代码执行。
TSRC与XStream维护者多次探讨黑名单过滤修复方案的缺陷,目前XStream官方已将1.4.18版本修改成白名单过滤方式,建议大家及时更新到最新版以规避历史安全漏洞。
2. 时间线
2021/05
三位TSRC白帽子在研究XStream安全漏洞时,陆续发现存在多个黑名单绕过,随后立即向TSRC报告漏洞细节
2021/05
TSRC第一时间复现漏洞后,立即代白帽子们向XStream官方提交报告
2021/05
XStream官方确认漏洞报告
2021/05
鉴于黑名单存在持续被绕过的风险,TSRC与XStream维护者多次探讨黑名单过滤修复方案的缺陷后,XStream修改成白名单过滤方式
2021/08/22
XStream官方发布重要安全更新,修复14个安全漏洞,其中包含由TSRC上报的5个严重漏洞(CVE-2021-39141、CVE-2021-39144、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148)
2021/08/23
TSRC发布安全通告
3. 影响情况
影响版本:version <= 1.4.17
安全版本:version = 1.4.18
4. 自查方法
XStream是一种用来处理XML文件序列化库,可以排查项目的jar文件或者依赖配置文件中XStream的版本,如果小于等于1.4.17则说明受影响。
5. 漏洞利用
6. 修复方案
1) 升级到最新版本-1.4.18
https://x-stream.github.io/news.html
历史上XStream多次出现严重漏洞,仅依赖JDK库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来,黑名单不断被绕过,建议务必升级到默认采用白名单过滤方式的最新版本。
2) 低版本的缓解方案
如果由于业务特殊情况无法升级到最新版本,低版本可使用以下缓解方案进行加固
https://x-stream.github.io/security.html#example
修复代码案例
目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。
7. 致谢
感谢白帽子Ceclin、yxxx、wh1t3Pig报告安全风险,也感谢XStream官方采用默认安全的白名单方案,一起为互联网安全作出贡献。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![Miss野羊:你不是真正的快乐,但我是[偷笑] ](https://imgs.knowsafe.com:8087/img/aideep/2021/7/14/2fbd87bc1e686e0fc853c7e3c049d63c.jpg?w=250)
![河豚抚子#次元充电站##城市街景# 和饭饭一起来压马路了![喵喵]@HIRO_午饭饭 ](https://imgs.knowsafe.com:8087/img/aideep/2023/3/6/3643012b4f86de3e41097c2b13baa6f2.jpg?w=250)
腾讯安全应急响应中心
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 为实现中国梦强军梦汇聚强大力量 7904818
- 2 中方拆穿美假消息 CNN直播吵起来了 7809531
- 3 枪击事件后第三天 印巴直接交火了 7712543
- 4 美国关税“后坐力”显现 7616706
- 5 女子手机失控冲进派出所民警让砸掉 7520116
- 6 中国代表:美方做法违反外交礼节 7424332
- 7 女子月入5万北漂十几年只攒下十万 7328725
- 8 郑少秋女儿郑欣宜突然清空社交账号 7231860
- 9 日本东京有8.3级大地震?专家回应 7139061
- 10 男子为亡妻殉情希望合葬 岳母发声 7040086
