腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)

本文主要是介绍腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重视这次安全更新。

这次修复的CVE-2021-29505(任意代码执行漏洞),漏洞利用复杂度低,风险高,建议尽快修复,详情如下。

 1. 漏洞概述 

5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。

通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。

 2. 时间线 

2021/04/13

TSRC白帽子V3geB1rd在研究XStream的时候,发现存在绕过,随后立即报告给TSRC

2021/04/14

TSRC与白帽子沟通后报告给XStream官方

2021/05/08

XStream官方确认报告

2021/05/14

官方发布安全更新

2021/05/17

TSRC发布安全通告

 3. 影响情况 

影响版本:version <= 1.4.16

安全版本:1.4.17

 4. 自查方法 

XStream是一种用来处理XML文件序列化库,可以看下项目的jar文件或者依赖配置文件中XStream的版本,如果小于1.4.17则说明受影响。

漏洞利用:

规避方案:

1、升级到最新版本-1.4.17

https://x-stream.github.io/news.html

2、使用安全api

https://x-stream.github.io/security.html#example

修复代码案例:

历史上XStream多次被报告严重漏洞,仅依赖jdk库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来, 黑名单不断被绕过,建议务必使用XStream安全api设置反序列类的白名单。

目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。

 5. TSRC通用软件安全漏洞奖励计划 

(1) 通用软件漏洞奖励计划适用于各种常见通用软件

软件列表:

a)常用库:OpenSSL、Fastjson、Gson、XStream等

b)框架:Shiro、Struts2、CAS、Spring Boot、Thinkphp、YII、CI等

c)组件:ActiveMQ、Solr、Hadoop、Prometheus、ELK Stack、Grafana、Eureka等

d) 办公协同产品:Jira、Confulence等

e) 邮件:Exchange、Coremail等

f) 门户论坛CMS:WordPress等

g) 远程设备:Citrix、CISCO SSL VPN等

h) 浏览器:Chrome等

i) 日常软件:Visual Studio Code等

特别关注以下列表:

a) 操作系统:Linux 、iOS 、Android、Windows、MacOS

b) Web服务器:Apache、Nginx、Tomcat

c) 存储计算系统:MySQL、Memcache、Redis、Spark、Hadoop

d) 开发语言:PHP、Java、Python、Golang、C++

e) 云、虚拟化:QEMU、K8S、Docker

f) 网络设备:Cisco、H3C、sonic

(2) 漏洞危害级别为严重或高(一般是无条件可远程利用且危害较大),需要通过TSRC平台提交,定级标准按照业务漏洞评分标准执行。

(3) 漏洞未在外部公开、未报告给其他机构或组织且适用于最新版本,需要提供可用的EXP 。

(4) 对于影响巨大的漏洞会给予额外的现金奖励,最高额度100万。

TSRC 漏洞处理和评分标准:

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf

 

我们是TSRC

互联网安全的守护者

用户数据安全的保卫者

我们找漏洞、查入侵、防攻击

与安全行业精英携手共建互联网生态安全

期待正能量的你与我们结盟!

微信号:tsrc_team

这篇关于腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/839380

相关文章

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u

AIGC6: 走进腾讯数字盛会

图中是一个程序员,去参加一个技术盛会。AI大潮下,五颜六色,各种不确定。 背景 AI对各行各业的冲击越来越大,身处职场的我也能清晰的感受到。 我所在的行业为全球客服外包行业。 业务模式为: 为国际跨境公司提供不同地区不同语言的客服外包解决方案,除了人力,还有软件系统。 软件系统主要是提供了客服跟客人的渠道沟通和工单管理,内部管理跟甲方的合同对接,绩效评估,BI数据透视。 客服跟客人

3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议 协议只是一种规则,你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则,任何人都可以定协议 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概 HTTPS 协议 1、概述 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

【小迪安全笔记 V2022 】信息打点9~11

第9天 信息打点-CDN绕过篇&漏洞回链8接口探针&全网扫指&反向件 知识点: 0、CDN知识-工作原理及阻碍 1、CDN配置-域名&区域&类型 2、CDN绕过-靠谱十余种技战法 3、CDN绑定-HOSTS绑定指向访问 CDN 是构建在数据网络上的一种分布式的内容分发网。 CDN的作用是采用流媒体服务器集群技术,克服单机系统输出带宽及并发能力不足的缺点,可极大提升系统支持的并发流数目,减少或避

GPU 计算 CMPS224 2021 学习笔记 02

并行类型 (1)任务并行 (2)数据并行 CPU & GPU CPU和GPU拥有相互独立的内存空间,需要在两者之间相互传输数据。 (1)分配GPU内存 (2)将CPU上的数据复制到GPU上 (3)在GPU上对数据进行计算操作 (4)将计算结果从GPU复制到CPU上 (5)释放GPU内存 CUDA内存管理API (1)分配内存 cudaErro