严重 XStream < 1.4.17 反序列化远程代码执行漏洞

CVE编号

CVE-2021-29505

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-05-16

漏洞描述

5月14日，XStream官方发布安全更新，修复了一个严重漏洞CVE-2021-29505，通过该漏洞，攻击者构造特定的XML，绕过XStream的黑名单，最终触发反序列化造成任意代码执行。

解决建议

升级至安全版本 >= 1.4.17。

参考链接
https://github.com/x-stream/xstream/commit/24fac82191292c6ae25f94508d28b9823f83624f
https://github.com/x-stream/xstream/security/advisories/GHSA-7chv-rrw6-w6fc
https://lists.apache.org/thread.html/r8ee51debf7fd184b6a6b020dc31df25118b0aa6...
https://lists.debian.org/debian-lts-announce/2021/07/msg00004.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://mp.weixin.qq.com/s/ZluUn1IY3Gqg0wnypGo0Og
https://security.netapp.com/advisory/ntap-20210708-0007/
https://www.debian.org/security/2021/dsa-5004
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://x-stream.github.io/CVE-2021-29505.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	xstream_project	xstream	*		Up to (excluding) 1.4.17
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	xstream	*		Up to (excluding) 1.3.1-14.1.al7
	运行在以下环境
	系统	amazon_2	xstream	*		Up to (excluding) 1.3.1-14.amzn2
	运行在以下环境
	系统	centos_7	xstream	*		Up to (excluding) 1.3.1-14.el7_9
	运行在以下环境
	系统	debian_10	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb10u3
	运行在以下环境
	系统	debian_11	libxstream-java	*		Up to (excluding) 1.4.15-3
	运行在以下环境
	系统	debian_12	libxstream-java	*		Up to (excluding) 1.4.15-3
	运行在以下环境
	系统	debian_9	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb9u3
	运行在以下环境
	系统	debian_sid	libxstream-java	*		Up to (excluding) 1.4.15-3
	运行在以下环境
	系统	fedora_33	xstream-javadoc	*		Up to (excluding) 1.4.18-2.fc33
	运行在以下环境
	系统	fedora_34	xstream-javadoc	*		Up to (excluding) 1.4.18-2.fc34
	运行在以下环境
	系统	fedora_35	xstream-javadoc	*		Up to (excluding) 1.4.18-2.fc35
	运行在以下环境
	系统	kylinos_aarch64_V10	xstream	*		Up to (excluding) 1.3.1-14.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10	xstream	*		Up to (excluding) 1.3.1-14.el7_9
	运行在以下环境
	系统	opensuse_Leap_15.2	xstream-parent	*		Up to (excluding) 1.4.17-lp152.2.9.1
	运行在以下环境
	系统	opensuse_Leap_15.3	xstream-parent	*		Up to (excluding) 1.4.17-3.11.2
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.3.1-14.el7_9
	运行在以下环境
	系统	redhat_7	xstream	*		Up to (excluding) 1.3.1-14.el7_9

阿里云评分 9.5

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化
CWE-94	对生成代码的控制不恰当（代码注入）

Exp相关链接

• https://x-stream.github.io/CVE-2021-29505.html

- avd.aliyun.com