[安全风险通告] XStream 多个高危漏洞安全风险通告
风险通告
近日,奇安信CERT监测到 xstream官方发布安全更新,修复了XStream服务端请求伪造漏洞(CVE-2020-26258)和 XStream任意文件删除漏洞(CVE-2020-26259)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可造成任意文件删除/服务端请求伪造,目前相关POC已公开。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。
当前漏洞状态
细节是否公开 PoC**状态** EXP**状态** 在野利用 是 已公开 未知 未知
漏洞描述
近日,奇安信CERT监测到 XStream官方发布安全更新,修复了XStream服务端请求伪造漏洞(CVE-2020-26258)和 XStream任意文件删除漏洞(CVE-2020-26259)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可造成任意文件删除/服务端请求伪造,目前相关POC已公开。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。
奇安信CERT第一时间复现了CVE-2020-26258和CVE-2020-26259漏洞,复现截图如下:
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
XStream <= 1.4.14
处置建议
使用 XStream.setupDefaultSecurity() 配置安全框架的用户不受影响。
升级至 1.4.15 或以上版本:x-stream.github.io/download.html
缓解建议:
低于 1.4.15 的不同版本用户可以按照以下代码设置黑名单:
1. 使用 XStream 1.4.14 的用户,只需在 XStream 的设置代码中添加两行即可:
xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });
2. 使用 XStream 1.4.13 的用户,只需在XStream的设置代码中添加三行代码即可:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
3. 使用 XStream 1.4.7 到 1.4.12 的用户,需要设置多个黑名单:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
4. 使用 XStream 1.4.6 或更低版本的用户可以注册自己的 Converter ,以防止反序列化当前已知的有危害的 Java 类型
xstream.registerConverter(new Converter() {
产品解决方案
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.12.15版本,支持对XStream 服务端请求伪造漏洞(CVE-2020-26258)、Xstream任意文件删除漏洞(CVE-2020-26259)防护,当前规则正在测试中,将于12月15日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10316版本,支持对XStream 服务端请求伪造漏洞(CVE-2020-26258)、Xstream任意文件删除漏洞(CVE-2020-26259)的防护,当前规则正在测试中,将于12月15日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持XStream服务端请求伪造漏洞(CVE-2020-26258)、XStream任意文件删除漏洞(CVE-2020-26259)的防护。
奇安信网神天堤防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2012141900” 及以上版本并启用规则ID:1231501和ID: 1231601进行检测防御。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备以上漏洞的检测能力。规则ID为:6106和6107,建议用户尽快升级检测规则库至2012141910以后版本并启用该检测规则。
奇安信开源卫士已更新
奇安信开源卫士20201214. 529版本已支持对XStream服务端请求伪造漏洞(CVE-2020-26258)和Xstream任意文件删除漏洞(CVE-2020-26259)的检测。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1214. 12537及以上版本。规则名称:XStream 服务端请求伪造漏洞(CVE-2020-26258),规则ID:0x10020B92。规则名称:Xstream 任意文件删除漏洞(CVE-2020-26259),规则ID:0x10020B91。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
参考资料
[1] https://x-stream.github.io/CVE-2020-26258....
[2] https://x-stream.github.io/CVE-2020-26259....
时间线
2020年12月15日,奇安信 CERT发布安全风险通告
原创:奇安信 CERT
原文链接:https://mp.weixin.qq.com/s/CIpOSnJo-uZfqXq...
