登錄

歡迎userBOB登陆 退出

國家 / 地區

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • BOB登陆 人才研學中心
  • 關於我們
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202302/1782227_30003_0.htm

XStream 拒絕服務漏洞通告(CVE-2022-41966)

【發布時間:2023-02-20】

威脅預警團隊

2022/12/29


1. 漏洞綜述

1.1 漏洞背景

XStream是一套簡潔易用的開源Java類庫,可以將Java對象序列化成XML (JSON)或將XML反序列化為對象。XStream支持對所有基礎類型(包括數組、集合等)的直接轉換,因此常用於數據交換、對象序列化。

1.2 漏洞詳情

在XStream 1.4.20之前的版本中存在堆棧溢出漏洞,遠程攻擊者可通過向服務器發送特製的xml文件注入遞歸集合或基於元素的哈希值映射,來實現遞歸計算造成堆棧溢出,並有可能終止應用程序進而導致應用拒絕服務。

2. 影響範圍

XStream < 1.4.20

3. 嚴重等級

威脅等級

高危

影響程度

廣泛

利用價值

利用難度

漏洞評分

8.2

4. 處置方法

4.1 官方補丁

目前XStream官方已發布安全版本修複該漏洞,受影響用戶可以升級到XStream 1.4.20或更高版本。官方鏈接:https://x-stream.github.io/download.html

4.2 BOB登陆 解決方案

1、BOB登陆 安全設備防護方案

BOB登陆 IPS規則庫將在1.0.224版本支持對該漏洞的識別,BOB登陆 全係安全產品可通過升級IPS特征庫識別該漏洞的攻擊流量,並進行主動攔截。

2、BOB登陆 態勢感知解決方案

BOB登陆 態勢感知已支持該漏洞的檢測,通過信息搜集整合、數據關聯分析等綜合研判手段,發現網絡中遭受該漏洞攻擊及失陷的資產。

3、BOB登陆 雲安全能力中心解決方案

BOB登陆 雲安全能力中心知識庫已更新該漏洞信息,可查詢對應漏洞產生原理、升級補丁、修複措施等。

5. 參考鏈接

https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv

https://x-stream.github.io/CVE-2022-41966.html

BOB登陆 官網
聯係我們