En

[TPSA21-24] 腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)

公告编号:TPSA21-24公告来源:TSRC发布日期:2021-05-17

分享

1. 前言

上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重视这次安全更新。

这次修复的CVE-2021-29505(任意代码执行漏洞),漏洞利用复杂度低,风险高,建议尽快修复,详情如下。

2. 漏洞概述

5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。

通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。

3. 时间线

2021/04/13

TSRC白帽子V3geB1rd在研究XStream的时候,发现存在绕过,随后立即报告给TSRC

2021/04/14

TSRC与白帽子沟通后报告给XStream官方

2021/05/08

XStream官方确认报告

2021/05/14

官方发布安全更新

2021/05/17

TSRC发布安全通告

4. 影响情况

影响版本:version <= 1.4.16
安全版本:1.4.17

5. 自查方法

XStream是一种用来处理XML文件序列化库,可以看下项目的jar文件或者依赖配置文件中XStream的版本,如果小于1.4.17则说明受影响。

漏洞利用:

规避方案:

1、升级到最新版本-1.4.17
https://x-stream.github.io/news.html

2、使用安全api
https://x-stream.github.io/security.html#example

修复代码案例:

历史上XStream多次被报告严重漏洞,仅依赖jdk库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来, 黑名单不断被绕过,建议务必使用XStream安全api设置反序列类的白名单。

目前腾讯的流量、主机、扫描器等安全系统已具备检测防护能力。

6. TSRC通用软件安全漏洞奖励计划

(1) 通用软件漏洞奖励计划适用于各种常见通用软件

软件列表:

a)常用库:OpenSSL、Fastjson、Gson、XStream等

b)框架:Shiro、Struts2、CAS、Spring Boot、Thinkphp、YII、CI等

c)组件:ActiveMQ、Solr、Hadoop、Prometheus、ELK Stack、Grafana、Eureka等

d) 办公协同产品:Jira、Confulence等

e) 邮件:Exchange、Coremail等

f) 门户论坛CMS:WordPress等

g) 远程设备:Citrix、CISCO SSL VPN等

h) 浏览器:Chrome等

i) 日常软件:Visual Studio Code等

特别关注以下列表:

a) 操作系统:Linux 、iOS 、Android、Windows、MacOS

b) Web服务器:Apache、Nginx、Tomcat

c) 存储计算系统:MySQL、Memcache、Redis、Spark、Hadoop

d) 开发语言:PHP、Java、Python、Golang、C++

e) 云、虚拟化:QEMU、K8S、Docker

f) 网络设备:Cisco、H3C、sonic

(2) 漏洞危害级别为严重或高(一般是无条件可远程利用且危害较大),需要通过TSRC平台提交,定级标准按照业务漏洞评分标准执行。

(3) 漏洞未在外部公开、未报告给其他机构或组织且适用于最新版本,需要提供可用的EXP 。

(4) 对于影响巨大的漏洞会给予额外的现金奖励,最高额度100万。

TSRC 漏洞处理和评分标准:

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf