远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2021: 3956 公告。

  - xstream：通过 Xalan xsltc.trax.TemplatesImpl 的不安全反序列化造成的任意代码执行（CVE-2021-39139、CVE-2021-39153）

  - xstream：通过 sun.reflect.annotation.AnnotationInvocationHandler 的不安全反序列化造成的无限循环 DoS (CVE-2021-39140)

  - xstream：通过 com.sun.xml.internal.ws.client.sei.* 的不安全反序列化造成的任意代码执行 (CVE-2021-39141)

  - xstream：通过 sun.tracing.* 的不安全反序列化造成的任意代码执行 (CVE-2021-39144)

  - xstream：通过 com.sun.jndi.ldap.LdapBindingEnumeration 的不安全反序列化造成的任意代码执行（CVE-2021-39145、CVE-2021-39151）

  - xstream：通过 javax.swing.UIDefaults$ProxyLazyValue 的不安全反序列化造成的任意代码执行（CVE-2021-39146、CVE-2021-39154）

  - xstream：通过 com.sun.jndi.ldap.LdapSearchEnumeration 的不安全反序列化造成的任意代码执行 (CVE-2021-39147)

  - xstream：通过 com.sun.jndi.toolkit.dir.ContextEnumerator 的不安全反序列化造成的任意代码执行 (CVE-2021-39148)

  - xstream：通过 com.sun.corba.* 的不安全反序列化造成的任意代码执行 (CVE-2021-39149)

  - xstream：通过 com.sun.xml.internal.ws.client.sei.* 的不安全反序列化造成的服务器端请求伪造 (SSRF) (CVE-2021-39150)

  - xstream：通过 jdk.nashorn.internal.runtime.Source$URLData 的不安全反序列化造成的服务器端请求伪造 (SSRF) (CVE-2021-39152)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

RHEL 7：xstream (RHSA-2021: 3956)

high Nessus 插件 ID 154419

版本 1.11

版本 1.10

版本 1.9

版本 1.8

版本 1.7

版本 1.6

版本 1.5

版本 1.11 Nov 28, 2023, 2:15 PM Exploit attributes ("Exploit framework metasploit" set to "True") Plugin Feed: 202311281415
版本 1.10 May 25, 2023, 12:55 AM Logic Changes (Added support for ppc64le architecture) Plugin Feed: 202305250055
版本 1.9 Mar 10, 2023, 11:54 PM CISA reference CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C") Plugin Feed: 202303102354
版本 1.8 Jan 23, 2023, 7:12 PM Logic Changes (Added support for repository relative URLs) Plugin Feed: 202301231912
版本 1.7 Jan 23, 2023, 4:10 PM Exploit attributes ("Exploit framework core" set to "True") Plugin Feed: 202301231610
版本 1.6 Dec 6, 2022, 4:40 AM Reference Plugin Feed: 202212060440
版本 1.5 Nov 16, 2022, 9:51 PM CVSS temporal metrics Exploit attributes Plugin Feed: 202211162151