| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

XStream Java序列化库发现执行任意代码漏洞需要升级

2021-08-26 19:25 作者:Leo 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

XStream是一个常用的Java对象和XML相互转换的工具。8月23日 XStream官方发布安全更新,修复了多个XStream Java序列化库中发现的执行任意代码等重要漏洞。以下是漏洞详情:

漏洞详情

来源: https://x-stream.github.io/security.html?spm=a2c4g.11174386.n2.4.46ea4c07mtuihO#workaround

1.CVE-2021-39139 严重程度: 重要

XStream 容易受到任意代码执行攻击。解组时处理的流包含类型信息以重新创建以前编写的对象。XStream 因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

2.CVE-2021-39140 严重程度: 重要

解组时处理的流包含类型信息以重新创建以前编写的对象。XStream 因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入对象,这会导致无限循环,可能导致拒绝服务。

3.CVE-2021-39141 严重程度: 重要

解组时处理的流包含类型信息以重新创建以前编写的对象。XStream 因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

4.CVE-2021-39144 严重程度: 重要

解组时处理的流包含类型信息以重新创建以前编写的对象。XStream 因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入对象,从而在服务器上执行本地命令。

5.CVE-2021-39150 严重程度: 重要

解组时处理的流包含类型信息以重新创建以前编写的对象。XStream 因此基于这些类型信息创建新实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端伪造请求。

受影响的产品和版本

XStream 1.4.17及更早版本

解决方案

XStream官方已发布安全更新,升级XStream 1.4.18版本可修复

查看更多漏洞信息 以及升级请访问官网:

https://x-stream.github.io/security.html?spm=a2c4g.11174386.n2.4.54c11051CEr2c6#workaround

【对“XStream Java序列化库发现执行任意代码漏洞需要升级”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·IBM企业文件交付解决方案发现执行任意代码漏洞
·IBM分布式应用企业管理软件发现执行任意代码漏洞
·IBM分布式高速缓存解决方案发现执行任意代码漏洞
·Ubuntu GRUB2引导加载程序发现执行任意代码漏洞
·XStream Java序列化库发现远程代码执行漏洞需要
头条
苹果macOS设备也不安全 恶意软件可窃取用户数据 苹果macOS设备也不安全 恶意软件可窃取用户数
近期,Check Point软件公司的安全研究人员在macOS设备上发现了一款在Windows出现过的……
·千款App因违法违规收集使用个人信息被依法下
·个人信息保护法通过:APP不得强制推送个性化
·黑莓设计软件存在网络安全漏洞 殃及全球汽车
·苹果CSAM检测新功能引发内部员工对隐私的担忧
·思科企业路由器发现拒绝服务和命令注入漏洞
图文
亚朵回应阿里女员工疑遭性侵事件:没有违规制作房卡
亚朵回应阿里女员工疑遭性侵事件:没有违规
苹果macOS设备也不安全 恶意软件可窃取用户数据
苹果macOS设备也不安全 恶意软件可窃取用户
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·研究人员称安卓系统开放性会给手机带来安全隐
·Avazu、nDefender云盾安全云、IBM数据圆桌会
·Sophos发表Matrix大解构:勒索软件攻击将持续
·爬虫业务踩红线,同盾科技的大数据风控之路如
·域名安全平台DNS.COM启用,市场估值过亿
广告
硅谷精选
亚朵回应阿里女员工疑遭性侵事件:没有违规制作房卡
亚朵回应阿里女员工疑遭性侵事件:没有违规制作房卡
苹果macOS设备也不安全 恶意软件可窃取用户数据
苹果macOS设备也不安全 恶意软件可窃取用户数据
腾讯视频、迅雷、爱剪辑等因网络弹窗被消保委点名
腾讯视频、迅雷、爱剪辑等因网络弹窗被消保委点名
Facebook工程师滥用自己感兴趣的女用户信息被开除
Facebook工程师滥用自己感兴趣的女用户信息被开除
网络安全板块成资金新共识?机构称还有行业空间!
网络安全板块成资金新共识?机构称还有行业空间!
运满满、货车帮、BOSS直聘被实施网络安全审查
运满满、货车帮、BOSS直聘被实施网络安全审查
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2021 硅谷网. 版权所有. All Rights Reserved. <备案号:京ICP备12003855号-2>