专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
爱猫之和高Y家打官S版  ·  凌晨墙内传出吓人的怪响,网友冒险破墙后,竟是 ... ·  2 天前  
爱猫之和高Y家打官S版  ·  凌晨墙内传出吓人的怪响,网友冒险破墙后,竟是 ... ·  2 天前  
读嘉新闻  ·  刚刚,张兰、汪小菲账号被无限期封禁! ·  2 天前  
读嘉新闻  ·  刚刚,张兰、汪小菲账号被无限期封禁! ·  2 天前  
开发者全社区  ·  跳崖了 ·  3 天前  
PM圈子  ·  程序员连相7天亲:规划有多重要! ·  4 天前  
成都消防救援  ·  DeepSeek为成都消防写了诗,速来看→ ·  4 天前  
成都消防救援  ·  DeepSeek为成都消防写了诗,速来看→ ·  4 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

【漏洞通告】XStream远程代码执行漏洞CVE-2021-29505

深信服千里目安全实验室  · 公众号  ·  · 2021-05-17 21:30

正文

漏洞名称 : XStream远程代码执行漏洞CVE-2021-29505

组件名称 : XStream

影响范围 : XStream <=1.4.16

漏洞类型 : 远程代码执行

利用条件 :

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价 :

:容易,无需授权即可远程代码执行。

:高危,能造成远程代码执行。


漏洞分析


1 组件 介绍

XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。


2 漏洞描述

2021年5月17日,深信服安全团队监测到XStream官方发布了一则漏洞安全通告,通告披露了XStream组件存在远程代码执行漏洞,漏洞编号:CVE-2021-29505,威胁等级:高危。


该漏洞是由于在解组时处理的流包含类型信息以重新创建以前写入的对象。因此,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器上执行本地命令。


影响范围


可能受漏洞影响的资产广泛分布于世界各地,国内资产主要分布在浙江、广东、上海等省市。


目前受影响的XStream版本:

XStream <= 1.4.16


解决方案


1 官方修复建议

目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:

https://x-stream.github.io/download.html


2 深信服解决方案

深信服下一代防火墙 】可防御此漏洞,建议用户将深信服下一代防火墙开启IPS防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。

深信服安全感知平台 】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。


时间轴








请到「今天看啥」查看全文


推荐文章
爱猫之和高Y家打官S版  ·  凌晨墙内传出吓人的怪响,网友冒险破墙后,竟是...只猫!
2 天前
爱猫之和高Y家打官S版  ·  凌晨墙内传出吓人的怪响,网友冒险破墙后,竟是...只猫!
2 天前
读嘉新闻  ·  刚刚,张兰、汪小菲账号被无限期封禁!
2 天前
读嘉新闻  ·  刚刚,张兰、汪小菲账号被无限期封禁!
2 天前
开发者全社区  ·  跳崖了
3 天前
PM圈子  ·  程序员连相7天亲:规划有多重要!
4 天前
成都消防救援  ·  DeepSeek为成都消防写了诗,速来看→
4 天前
成都消防救援  ·  DeepSeek为成都消防写了诗,速来看→
4 天前
公主岭帮  ·  2岁男孩吃后5小时呕血7次,差点没命……最近很多公主岭人爱吃这个!
7 年前
经典微小说  ·  在乎你的人,总会默默心疼你
7 年前
GS乐点  ·  TA可以不自杀
7 年前
广州房产  ·  东塔海拔全国第四!广州会有600+吗
7 年前
跨境电商赢商荟  ·  赢商荟跨境出口一周讯(12.18-12.24)
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!