Amazon Linux 2：xstream (ALAS-2021-1729)

high Nessus 插件 ID 155989

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 xstream 版本低于 1.3.1-16。因此，如公告 ALAS2-2021-1729 所述，该主机受到多个漏洞的影响。

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。仅当使用随附 JDK 1.7u21 或更低版本的开箱即用版本时，用户才会受到影响。但是，无论 Java 运行时的版本为何，均可轻松调整此方案以适应外部 Xalan 的运行情况。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单，因为其无法出于一般用途获得保护。(CVE-2021-39139)

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行，在目标系统上分配 100％ CPU 时间，从而导致拒绝服务。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单，因为其无法出于一般用途获得保护。(CVE-2021-39140)

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单，因为其无法出于一般用途获得保护。（CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39154）

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，权限充足的远程攻击者可利用此漏洞，仅通过操纵处理过的输入流执行主机命令。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单，因为其无法出于一般用途获得保护。(CVE-2021-39144)

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，此漏洞可能允许远程攻击者仅通过使用 Java 运行时版本 14 到 8 来操纵处理过的输入流，从非公开可用的内部资源中请求数据。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架 (https://x-stream.github.io/security.html#framework) 的默认黑名单，则必须至少使用 1.4.18 版（CVE-2021-39150、CVE-2021-39152）

- XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的简易库。在受影响的版本中，如果使用的是随附 Java 运行时 14 版至 8 版的开箱即用版本或已安装 JavaFX，远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。XStream 1.4.18 默认不再使用黑名单，因为其无法出于一般用途获得保护。(CVE-2021-39153)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。