媒體報(bào)道

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

通告| XStream多個(gè)高危漏洞安恒AiLPHA解決方案來(lái)應(yīng)對(duì)

閱讀量：次

近日，安恒AiLPHA安全團(tuán)隊(duì)監(jiān)測(cè)到XStream官方發(fā)布漏洞公告，公開(kāi)了多個(gè)XStream高危漏洞的詳細(xì)信息。其中CVE-2021-39152、CVE-2021-39144等多個(gè)漏洞允許攻擊者通過(guò)構(gòu)造特殊的XML數(shù)據(jù)繞過(guò)XStream黑名單限制，從而在目標(biāo)機(jī)器上執(zhí)行任意代碼。目前該漏洞的細(xì)節(jié)及POC已公開(kāi)，安恒AiLPHA安全團(tuán)隊(duì)建議客戶盡快自查XStream版本，升級(jí)到安全版本以避免受此影響。

漏洞基本信息

XStream 是一個(gè)簡(jiǎn)單的Java庫(kù)，可以輕易地將Java對(duì)象和XML文檔相互轉(zhuǎn)換,它不需要其它輔助類(lèi)和映射文件，這使得XML序列化不再繁瑣。

其中XStream任意代碼執(zhí)行漏洞(CVE-2021-39139、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154)允許攻擊者通過(guò)構(gòu)造惡意的XML文件，繞過(guò)XStream的黑名單機(jī)制，從而觸發(fā)反序列化，導(dǎo)致反序列化代碼執(zhí)行，并因此造成任意代碼執(zhí)行。

其中XStream SSRF漏洞(CVE-2021-39150)允許攻擊者通過(guò)構(gòu)造惡意的XML文件，可以繞過(guò)XStream的黑名單機(jī)制，從而觸發(fā)反序列化，導(dǎo)致反序列化代碼執(zhí)行，并因此導(dǎo)致服務(wù)器端偽造請(qǐng)求(SSRF)。

安恒AiPHA已復(fù)現(xiàn)部分漏洞(CVE-2021-39152)，截圖如下：

危害等級(jí)：高危

影響版本：XStream <= 1.4.17

安恒AiLPHA產(chǎn)品檢測(cè)方案

1.AiLPHA大數(shù)據(jù)平臺(tái)檢測(cè)方案

AiLPHA大數(shù)據(jù)平臺(tái)的流量探針（AiNTA）在第一時(shí)間加入了對(duì)該漏洞的檢測(cè)規(guī)則，請(qǐng)將規(guī)則包升級(jí)到1.1.295版本（AiNTA-v1.1.7_release_ruletag_1.1.295）及以上版本。

規(guī)則名稱(chēng)：XStream 反序列化命令執(zhí)行漏洞(CVE-2021-39152)，規(guī)則編號(hào)：93007878

AiNTA流探針規(guī)則升級(jí)方法：系統(tǒng)管理->手動(dòng)升級(jí)，選擇“上傳升級(jí)包”。升級(jí)成功后，規(guī)則版本會(huì)變?yōu)樽钚碌陌姹咎?hào)。

請(qǐng)從AiLPHA安全中心下載規(guī)則包。

AiLPHA安全中心地址：

https://ailpha.dbappsecurity.com.cn/#/login

如果沒(méi)有賬號(hào)，請(qǐng)從頁(yè)面注冊(cè)賬號(hào)：

2.APT攻擊預(yù)警平臺(tái)

APT攻擊預(yù)警平臺(tái)已經(jīng)在第一時(shí)間加入了對(duì)該漏洞的檢測(cè)，請(qǐng)將規(guī)則包升級(jí)到GoldenEyeIPv6_XXXXX_strategy2.0.25349.210824.1及以上版本。

規(guī)則名稱(chēng)：XStream 反序列化命令執(zhí)行漏洞(CVE-2021-39152)，規(guī)則編號(hào)：93007878

APT攻擊預(yù)警平臺(tái)規(guī)則升級(jí)方法：系統(tǒng)->升級(jí)管理，選擇“手動(dòng)升級(jí)”或“在線升級(jí)”。

APT攻擊預(yù)警平臺(tái)的規(guī)則升級(jí)包請(qǐng)到安恒社區(qū)下載：

https://bbs.dbappsecurity.com.cn/。

漏洞處置建議

官方緩解措施：當(dāng)前官方已發(fā)布最新版本已修復(fù)漏洞，建議受影響的用戶及時(shí)更新官方最新版本。

鏈接如下：https://x-stream.github.io/news.html

臨時(shí)緩解措施：由于其他原因暫時(shí)無(wú)法升級(jí)到最新版本的用戶，可根據(jù)官方建議進(jìn)行加固。

鏈接如下：https://x-stream.github.io/security.html#example

關(guān)閉

AI智能體專(zhuān)區(qū)

AI智能體專(zhuān)區(qū)

告警研判和降噪智能體

安全運(yùn)營(yíng)咨詢(xún)服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類(lèi)分級(jí)智能體

API安全智能體

自動(dòng)化滲透測(cè)試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測(cè)智能體

數(shù)據(jù)安全咨詢(xún)服務(wù)智能體

核心安全產(chǎn)品

場(chǎng)景解決方案

Saas產(chǎn)品訂閱專(zhuān)區(qū)

熱門(mén)產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺(tái)最熱

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測(cè)試

AI應(yīng)急響應(yīng)

AI安全咨詢(xún)

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識(shí)教育解決方案>

媒體報(bào)道

通告| XStream多個(gè)高危漏洞 安恒AiLPHA解決方案來(lái)應(yīng)對(duì)

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營(yíng)咨詢(xún)
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類(lèi)
分級(jí)智能體

API安全
智能體

自動(dòng)化滲透
測(cè)試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測(cè)智能體

數(shù)據(jù)安全咨詢(xún)
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)

通告| XStream多個(gè)高危漏洞安恒AiLPHA解決方案來(lái)應(yīng)對(duì)