[安全风险通告] XStream 多个高危漏洞安全风险通告

Andrew2020-12-16 09:54:23

风险通告
近日,奇安信CERT监测到 xstream官方发布安全更新,修复了XStream服务端请求伪造漏洞(CVE-2020-26258)和 XStream任意文件删除漏洞(CVE-2020-26259)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可造成任意文件删除/服务端请求伪造,目前相关POC已公开。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。
当前漏洞状态

细节是否公开 PoC**状态** EXP**状态** 在野利用
已公开 未知 未知

漏洞描述

近日,奇安信CERT监测到 XStream官方发布安全更新,修复了XStream服务端请求伪造漏洞(CVE-2020-26258)和 XStream任意文件删除漏洞(CVE-2020-26259)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可造成任意文件删除/服务端请求伪造,目前相关POC已公开。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。

奇安信CERT第一时间复现了CVE-2020-26258和CVE-2020-26259漏洞,复现截图如下:

图片

图片

风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

影响范围

XStream <= 1.4.14

处置建议

使用 XStream.setupDefaultSecurity() 配置安全框架的用户不受影响。

升级至 1.4.15 或以上版本:x-stream.github.io/download.html

缓解建议:

低于 1.4.15 的不同版本用户可以按照以下代码设置黑名单:

1. 使用 XStream 1.4.14 的用户,只需在 XStream 的设置代码中添加两行即可:

xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });

2. 使用 XStream 1.4.13 的用户,只需在XStream的设置代码中添加三行代码即可:

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

3. 使用 XStream 1.4.7 到 1.4.12 的用户,需要设置多个黑名单:

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

4. 使用 XStream 1.4.6 或更低版本的用户可以注册自己的 Converter ,以防止反序列化当前已知的有危害的 Java 类型

xstream.registerConverter(new Converter() {

产品解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.12.15版本,支持对XStream 服务端请求伪造漏洞(CVE-2020-26258)、Xstream任意文件删除漏洞(CVE-2020-26259)防护,当前规则正在测试中,将于12月15日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10316版本,支持对XStream 服务端请求伪造漏洞(CVE-2020-26258)、Xstream任意文件删除漏洞(CVE-2020-26259)的防护,当前规则正在测试中,将于12月15日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持XStream服务端请求伪造漏洞(CVE-2020-26258)、XStream任意文件删除漏洞(CVE-2020-26259)的防护。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2012141900” 及以上版本并启用规则ID:1231501和ID: 1231601进行检测防御。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备以上漏洞的检测能力。规则ID为:6106和6107,建议用户尽快升级检测规则库至2012141910以后版本并启用该检测规则。

奇安信开源卫士已更新

奇安信开源卫士20201214. 529版本已支持对XStream服务端请求伪造漏洞(CVE-2020-26258)和Xstream任意文件删除漏洞(CVE-2020-26259)的检测。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1214. 12537及以上版本。规则名称:XStream 服务端请求伪造漏洞(CVE-2020-26258),规则ID:0x10020B92。规则名称:Xstream 任意文件删除漏洞(CVE-2020-26259),规则ID:0x10020B91。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

参考资料

[1] https://x-stream.github.io/CVE-2020-26258....

[2] https://x-stream.github.io/CVE-2020-26259....

时间线

2020年12月15日,奇安信 CERT发布安全风险通告

原创:奇安信 CERT
原文链接:https://mp.weixin.qq.com/s/CIpOSnJo-uZfqXq...

网络安全xstream
本作品采用《CC 协议》,转载必须注明作者和本文链接
Plex中一项漏洞存在三年之久,CISA敦促多个组织进行修补。
防火墙即服务(FWaaS)是云计算与网络安全领域中的新兴应用模式,代表了从传统本地部署防火墙解决方案向基于云的防火墙服务转变,可以为组织提供更强大的网络安全保护和更灵活的网络架构。近日,安全媒体Cybersecuritynews收集整理了目前较热门的十款FWaaS服务 (详见下表),并对它们的主要应用特点进行了分析。
接近1400万基于Linux的系统直接暴露在互联网上,成为大量现实世界攻击借以牟利的目标,造成这些系统上遍布恶意Web shell、加密货币挖矿机、勒索软件和其他木马。该公司检测到针对Linux云环境的近1500万起恶意软件事件,发现加密货币挖矿机和勒索软件占据了所有恶意软件的54%,Web shell的份额是29%。
5月24日,国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发了《全国一体化大数据中心协同创新体系算力枢纽实施方案》,明确提出布局全国算力网络国家枢纽节点,启动实施“东数西算”工程,构建国家算力网络体系。
为有效遏制境外电话引起电诈案件的高发态势,切实提高人民群众防骗意识和能力,警方倡议:如您没有接收境外来电的需求,可以主动关闭该功能降低被骗风险,守护财产安全!
2024全国两会正召开的如火如荼,目前已诞生多个热点话题,比如教育、稳就业、促增收等等,其中网络安全也成全国两会热点话题之一。会上,多位全国政协委员、全国人大代表、行业专家、学者、企业大咖纷纷携网络安全相关提案、议案上会,比如: 北京市政协委员、奇安信集团董事长 齐向东《进一步加强智慧城市网络安全韧性》、《创新发展“AI+安全” 护航中国式现代化》;全国政协委员、360集团创始
为超过80%的财富500强企业提供技术、业务和人才解决方案的全球供应商TEKsystems最新发布的《2024年数字化转型状况报告》指出,超过72%的数字领导者预计在2024年增加支出,其中网络安全和人工智能则被认为是未来一到二年内的首要关键投入。
开工网络安全小贴士
行业领先的B2B SaaS公司计费和财务运营平台Maxio在最新一期的《订阅业务增长状态》报告中提出,对2,400多家公司的计费数据的分析表明,B2B企业的增长率在整个2023年保持稳定。其中网络安全在过去两年中以37%的平均年增长率领先,餐饮、酒店和休闲科技行业也都保持较高增长速度。Maxio指出,在经历了一段时间的异常增长和波动之后,市场正在恢复到正常化的增长水平。
Andrew
暂无描述