Debian DSA-5004-1:libxstream-java - 安全更新

critical Nessus 插件 ID 155294

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10/11 主机上安装的一个程序包受到 dsa-5004 公告中提及的多个漏洞影响。

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞,远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行,在目标系统上分配 100% CPU 时间,从而导致拒绝服务。在设置 XStream 安全框架时按照建议将白名单限定为最低要求类型的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21341)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞,解组时处理的流包含用于重新创建之前写入对象的类型信息。XStream 因此会根据这些类型信息创建新的实例。攻击者可操纵处理后的输入流,并替换或注入对象,进而导致服务器端伪造请求。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21342)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞,解组时处理的流包含用于重新创建之前写入对象的类型信息。XStream 因此会根据这些类型信息创建新的实例。攻击者可操纵处理后的输入流,并替换或注入对象,进而删除本地主机上的文件。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21343)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞,该漏洞可能允许远程攻击者仅通过操纵处理过的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。(CVE-2021-21344、CVE-2021-21346、CVE-2021-21347)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞,该漏洞可能允许权限充足的远程攻击者仅通过操纵处理过的输入流便可执行主机命令。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。(CVE-2021-21345)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞,允许远程攻击者占用消耗最大 CPU 时间且永远不会返回的线程。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21348)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 版本中有一个漏洞,远程攻击者可利用此漏洞,仅通过操纵已处理的输入流,从非公开可获取的内部资源请求数据。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。(CVE-2021-21349)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞,该漏洞可能允许远程攻击者仅通过操纵处理过的输入流便可执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21350)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前版本中有一个漏洞,远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单,则必须至少使用 1.4.16 版本。
(CVE-2021-21351)

- XStream 是一款可将 Java 对象序列化为 XML,再将 XML 序列化为 Java 对象的软件。XStream 1.4.17 之前的版本中存在一个漏洞,权限充足的远程攻击者可利用此漏洞,仅通过操纵处理过的输入流执行主机命令。在设置 XStream 安全框架时按照建议将白名单限定为最低要求类型的用户不会受到影响。此漏洞已在版本 1.4.17 中修复。(CVE-2021-29505)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。仅当使用随附 JDK 1.7u21 或更低版本的开箱即用版本时,用户才会受到影响。但是,无论 Java 运行时的版本为何,均可轻松调整此方案以适应外部 Xalan 的运行情况。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单,因为其无法出于一般用途获得保护。(CVE-2021-39139)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行,在目标系统上分配 100% CPU 时间,从而导致拒绝服务。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单,因为其无法出于一般用途获得保护。(CVE-2021-39140)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单,因为其无法出于一般用途获得保护。(CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39154)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,权限充足的远程攻击者可利用此漏洞,仅通过操纵处理过的输入流执行主机命令。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单,因为其无法出于一般用途获得保护。(CVE-2021-39144)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,此漏洞可能允许远程攻击者仅通过使用 Java 运行时版本 14 到 8 来操纵处理过的输入流,从非公开可用的内部资源中请求数据。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架 (https://x-stream.github.io/security.html#framework) 的默认黑名单,则必须至少使用 1.4.18 版(CVE-2021-39150、CVE-2021-39152)

- XStream 是一个可将对象序列化为 XML,再将 XML 序列化为对象的简易库。在受影响的版本中,如果使用的是随附 Java 运行时 14 版至 8 版的开箱即用版本或已安装 JavaFX,远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单,因为其无法出于一般用途获得保护。(CVE-2021-39153)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 libxstream-java 程序包。

对于稳定发行版本 (bullseye),已在版本 1.4.15-3+deb11u1 中修复这些问题。

另见

http://www.nessus.org/u?b2068716

https://www.debian.org/security/2021/dsa-5004

https://security-tracker.debian.org/tracker/CVE-2021-21341

https://security-tracker.debian.org/tracker/CVE-2021-21342

https://security-tracker.debian.org/tracker/CVE-2021-21343

https://security-tracker.debian.org/tracker/CVE-2021-21344

https://security-tracker.debian.org/tracker/CVE-2021-21345

https://security-tracker.debian.org/tracker/CVE-2021-21346

https://security-tracker.debian.org/tracker/CVE-2021-21347

https://security-tracker.debian.org/tracker/CVE-2021-21348

https://security-tracker.debian.org/tracker/CVE-2021-21349

https://security-tracker.debian.org/tracker/CVE-2021-21350

https://security-tracker.debian.org/tracker/CVE-2021-21351

https://security-tracker.debian.org/tracker/CVE-2021-29505

https://security-tracker.debian.org/tracker/CVE-2021-39139

https://security-tracker.debian.org/tracker/CVE-2021-39140

https://security-tracker.debian.org/tracker/CVE-2021-39141

https://security-tracker.debian.org/tracker/CVE-2021-39144

https://security-tracker.debian.org/tracker/CVE-2021-39145

https://security-tracker.debian.org/tracker/CVE-2021-39146

https://security-tracker.debian.org/tracker/CVE-2021-39147

https://security-tracker.debian.org/tracker/CVE-2021-39148

https://security-tracker.debian.org/tracker/CVE-2021-39149

https://security-tracker.debian.org/tracker/CVE-2021-39150

https://security-tracker.debian.org/tracker/CVE-2021-39151

https://security-tracker.debian.org/tracker/CVE-2021-39152

https://security-tracker.debian.org/tracker/CVE-2021-39153

https://security-tracker.debian.org/tracker/CVE-2021-39154

https://packages.debian.org/source/buster/libxstream-java

https://packages.debian.org/source/bullseye/libxstream-java

插件详情

严重性: Critical

ID: 155294

文件名: debian_DSA-5004.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2021/11/12

最近更新时间: 2023/3/10

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-21350

CVSS v3

风险因素: Critical

基本分数: 9.9

时间分数: 9.5

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2021-21345

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libxstream-java, cpe:/o:debian:debian_linux:10.0, cpe:/o:debian:debian_linux:11.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/11/10

漏洞发布日期: 2021/3/23

CISA 已知可遭利用的漏洞到期日期: 2023/3/31

可利用的方式

Core Impact

Metasploit (VMware NSX Manager XStream unauthenticated RCE)

参考资料信息

CVE: CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351, CVE-2021-29505, CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154