安全通告
关于XStream拒绝服务漏洞的预警通报
发布日期:2024-11-12
[2024]021号
漏洞描述
2024年11月12日监测发现XStream存在拒绝服务漏洞(CVE-2024-47072),该漏洞是由于当XStream 配置为使用 BinaryStreamDriver时,反序列化某些特定输入时处理不当,导致攻击者可以通过构造特定的二进制数据流作为输入,从而在反序列化时进入无限递归,触发栈溢出,使得应用程序崩溃并导致服务中断,造成拒绝服务。
XStream 是一个用于在 Java 对象和 XML 之间相互转换的工具,它能够将 Java 对象序列化为 XML 或 JSON 格式,也可以将 XML 或 JSON 格式的数据反序列化为 Java 对象,从而简化了数据的存储、传输和恢复。BinaryStreamDriver是XStream提供的一个驱动,它使用了一种优化的二进制格式来进行序列化与反序列化操作。
漏洞编号
CVE-2024-47072
漏洞危害
允许远程攻击者利用这一漏洞,仅通过操纵已处理的输入流来终止应用程序,并显示堆栈溢出错误,从而导致拒绝服务。
漏洞等级
高危
受影响版本
XStream < 1.4.21
修复方案
目前该漏洞已经修复,受影响用户可升级到以下版本:
XStream >= 1.4.21
https://x-stream.github.io/download.html
参考链接
https://x-stream.github.io/CVE-2024-47072.html