• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-26217:XStream 遠程代碼執行漏洞通告

        時間:2020-11-18

        0x01 漏洞簡述

        2020年11月16日,360CERT監測發現?XStream?發布了?XStream 安全更新?的風險通告,該漏洞編號為?CVE-2020-26217?,漏洞等級:?嚴重?,漏洞評分:?9.8?。

        XStream 發布安全更新修復了一處反序列化漏洞,舊版XStream中存在一處黑名單繞過,利用該繞過可觸發惡意的反序列化流程,導致遠程代碼執行。

        未授權的遠程攻擊者通過向使用 XStream 的web應用發送特制請求,可導致遠程代碼執行,并獲得該服務器控制權限。

        對此,360CERT建議廣大用戶及時將?XStream?升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

         

        0x02 風險等級

        360CERT對該漏洞的評定結果如下:

        評定方式

        等級

        威脅等級

        嚴重
        影響面

        一般

        360CERT評分

        9.8

         

        0x03 漏洞詳情

        CVE-2020-26217: 序列化漏洞

        XStream 的反序列化流程中存在一處黑名單繞過,允許?惡意反序列化鏈?執行,最終導致遠程代碼執行。該漏洞是?CVE-2013-7285?的進一步變體,其原因是?javax.imageio.ImageIO$ContainsFilter?該?類對象?在與其他實現命令執行、代碼執行的?類對象?一起使用的時候會造成代碼執行。

         

        0x04 影響版本

        • xstream:xstream: <=1.4.13

        0x05 修復建議

        通用修補建議

        參考官方通告升級到?1.4.14?:

        新版XStream下載地址

        0x07 時間線

        2020-11-16?XStream發布更新通告

        2020-11-16?360CERT發布通告

         

        0x08 參考鏈接

        1. XStream 官方通告

        0x09 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。

        CVE-2020-26217: XStream 遠程代碼執行漏洞通告

         

        本文由360CERT安全通告原創發布

        出處:?https://www.anquanke.com/post/id/222666

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航