前言
上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重视这次安全更新。
这次修复的CVE-2021-29505(任意代码执行漏洞),漏洞利用复杂度低,风险高,建议尽快修复,详情如下。
1. 漏洞概述
5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。
通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
2. 时间线
2021/04/13
TSRC白帽子V3geB1rd在研究XStream的时候,发现存在绕过,随后立即报告给TSRC
2021/04/14
TSRC与白帽子沟通后报告给XStream官方
2021/05/08
XStream官方确认报告
2021/05/14
官方发布安全更新
2021/05/17
TSRC发布安全通告
3. 影响情况
影响版本:version <= 1.4.16
安全版本:1.4.17
4. 自查方法
XStream是一种用来处理XML文件序列化库,可以看下项目的jar文件或者依赖配置文件中XStream的版本,如果小于1.4.17则说明受影响。
漏洞利用:
规避方案:
1、升级到最新版本-1.4.17
https://x-stream.github.io/news.html
2、使用安全api
https://x-stream.github.io/security.html#example
修复代码案例:
历史上XStream多次被报告严重漏洞,仅依赖jdk库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来, 黑名单不断被绕过,建议务必使用XStream安全api设置反序列类的白名单。
目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。
5. TSRC通用软件安全漏洞奖励计划
(1) 通用软件漏洞奖励计划适用于各种常见通用软件
软件列表:
a)常用库:OpenSSL、Fastjson、Gson、XStream等
b)框架:Shiro、Struts2、CAS、Spring Boot、Thinkphp、YII、CI等
c)组件:ActiveMQ、Solr、Hadoop、Prometheus、ELK Stack、Grafana、Eureka等
d) 办公协同产品:Jira、Confulence等
e) 邮件:Exchange、Coremail等
f) 门户论坛CMS:WordPress等
g) 远程设备:Citrix、CISCO SSL VPN等
h) 浏览器:Chrome等
i) 日常软件:Visual Studio Code等
特别关注以下列表:
a) 操作系统:Linux 、iOS 、Android、Windows、MacOS
b) Web服务器:Apache、Nginx、Tomcat
c) 存储计算系统:MySQL、Memcache、Redis、Spark、Hadoop
d) 开发语言:PHP、Java、Python、Golang、C++
e) 云、虚拟化:QEMU、K8S、Docker
f) 网络设备:Cisco、H3C、sonic
(2) 漏洞危害级别为严重或高(一般是无条件可远程利用且危害较大),需要通过TSRC平台提交,定级标准按照业务漏洞评分标准执行。
(3) 漏洞未在外部公开、未报告给其他机构或组织且适用于最新版本,需要提供可用的EXP 。
(4) 对于影响巨大的漏洞会给予额外的现金奖励,最高额度100万。
TSRC 漏洞处理和评分标准:
https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
我们是TSRC
互联网安全的守护者
用户数据安全的保卫者
我们找漏洞、查入侵、防攻击
与安全行业精英携手共建互联网生态安全
期待正能量的你与我们结盟!
微信号:tsrc_team
转载:https://blog.csdn.net/Tencent_SRC/article/details/116956890