服务公告

全部公告 > 安全公告 > 关于Xstream多个高危漏洞预警

关于Xstream多个高危漏洞预警

2021-03-16

一、概要

近日,华为云关注到Xstream官方发布安全更新,披露在1.4.16之前的版本中存在多处高危漏洞。攻击者利用漏洞可造成远程代码执行、拒绝服务攻击、任意文件删除等危害,目前业界POC已公开,华为云提醒使用XStream的用户尽快安排自检并做好安全加固。

参考链接:

xstream官方公告

CVE-2021-21341 XStream可能导致拒绝服务;

CVE-2021-21342 可以使用XStream解组激活服务器端伪造请求,以访问来自引用内部网或本地主机中资源的任意URL的数据流;

CVE-2021-21343 取消编组时,只要执行进程具有足够的权限,XStream就容易受到本地主机上任意文件删除的攻击;

CVE-2021-21344 XStream容易受到任意代码执行攻击;

CVE-2021-21345 XStream容易受到“远程命令执行”攻击;

CVE-2021-21346 XStream容易受到任意代码执行攻击;

CVE-2021-21347 XStream容易受到任意代码执行攻击;

CVE-2021-21348 XStream容易受到使用正则表达式的拒绝服务(ReDos)攻击的攻击;

CVE-2021-21349 可以使用XStream解组激活服务器端伪造请求,以访问来自引用内部网或本地主机中资源的任意URL的数据流;

CVE-2021-21350 XStream容易受到任意代码执行攻击;

CVE-2021-21351 XStream容易受到任意代码执行攻击。

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

XStream < 1.4.16

安全版本:

XStream 1.4.16

四、漏洞处置

目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:

http://x-stream.github.io/download.html

注:修复漏洞前请将资料备份,并进行充分测试。