【漏洞通告】关于XStream拒绝服务漏洞的预警通报(CVE-2024-47072)

安全通告

关于XStream拒绝服务漏洞的预警通报

发布日期:2024-11-12

[2024]021

漏洞描述

2024年11月12日监测发现XStream存在拒绝服务漏洞(CVE-2024-47072),该漏洞是由于当XStream 配置为使用 BinaryStreamDriver时,反序列化某些特定输入时处理不当,导致攻击者可以通过构造特定的二进制数据流作为输入,从而在反序列化时进入无限递归,触发栈溢出,使得应用程序崩溃并导致服务中断,造成拒绝服务。

XStream 是一个用于在 Java 对象和 XML 之间相互转换的工具,它能够将 Java 对象序列化为 XML 或 JSON 格式,也可以将 XML 或 JSON 格式的数据反序列化为 Java 对象,从而简化了数据的存储、传输和恢复。BinaryStreamDriver是XStream提供的一个驱动,它使用了一种优化的二进制格式来进行序列化与反序列化操作。

漏洞编号

CVE-2024-47072

漏洞危害

允许远程攻击者利用这一漏洞,仅通过操纵已处理的输入流来终止应用程序,并显示堆栈溢出错误,从而导致拒绝服务。

漏洞等级

高危
受影响版本

XStream < 1.4.21

修复方案

目前该漏洞已经修复,受影响用户可升级到以下版本:

XStream >= 1.4.21

https://x-stream.github.io/download.html

参考链接

https://x-stream.github.io/CVE-2024-47072.html