[安全風險通告] XStream 多個高危漏洞安全風險通告

風險通告
近日，奇安信CERT監測到 xstream官方發布安全更新，修復了XStream服務端請求偽造漏洞（CVE-2020-26258）和 XStream任意文件刪除漏洞（CVE-2020-26259）。當用戶默認未設置白名單安全框架時，未授權的遠程攻擊者利用漏洞可造成任意文件刪除/服務端請求偽造，目前相關POC已公開。經過奇安信CERT研判，此漏洞危害較大，鑒于該漏洞影響較大，建議客戶盡快更新補丁。
當前漏洞狀態

細節是否公開	PoC**狀態**	EXP**狀態**	在野利用
是	已公開	未知	未知

漏洞描述

近日，奇安信CERT監測到 XStream官方發布安全更新，修復了XStream服務端請求偽造漏洞（CVE-2020-26258）和 XStream任意文件刪除漏洞（CVE-2020-26259）。當用戶默認未設置白名單安全框架時，未授權的遠程攻擊者利用漏洞可造成任意文件刪除/服務端請求偽造，目前相關POC已公開。經過奇安信CERT研判，此漏洞危害較大，鑒于該漏洞影響較大，建議客戶盡快更新補丁。

奇安信CERT第一時間復現了CVE-2020-26258和CVE-2020-26259漏洞，復現截圖如下：

風險等級

奇安信 CERT風險評級為：高危

風險等級：藍色（一般事件）

影響范圍

XStream <= 1.4.14

處置建議

使用 XStream.setupDefaultSecurity() 配置安全框架的用戶不受影響。

升級至 1.4.15 或以上版本：x-stream.github.io/download.html

緩解建議：

低于 1.4.15 的不同版本用戶可以按照以下代碼設置黑名單：

1. 使用 XStream 1.4.14 的用戶，只需在 XStream 的設置代碼中添加兩行即可：

xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });

2. 使用 XStream 1.4.13 的用戶，只需在XStream的設置代碼中添加三行代碼即可：

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

3. 使用 XStream 1.4.7 到 1.4.12 的用戶，需要設置多個黑名單：

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

4. 使用 XStream 1.4.6 或更低版本的用戶可以注冊自己的 Converter ，以防止反序列化當前已知的有危害的 Java 類型

xstream.registerConverter(new Converter() {

產品解決方案

奇安信網神統一服務器安全管理平臺更新入侵防御規則庫

奇安信網神虛擬化安全輕代理版本可通過更新入侵防御規則庫2020.12.15版本，支持對XStream 服務端請求偽造漏洞（CVE-2020-26258）、Xstream任意文件刪除漏洞（CVE-2020-26259）防護，當前規則正在測試中，將于12月15日發布，屆時請用戶聯系技術支持人員獲取規則升級包對輕代理版本進行升級。

奇安信網神統一服務器安全管理平臺可通過更新入侵防御規則庫10316版本，支持對XStream 服務端請求偽造漏洞（CVE-2020-26258）、Xstream任意文件刪除漏洞（CVE-2020-26259）的防護，當前規則正在測試中，將于12月15日發布，屆時請用戶聯系技術支持人員獲取規則升級包對融合版本進行升級。

奇安信網站應用安全云防護系統已更新防護特征庫

奇安信網神網站應用安全云防護系統已全局更新所有云端防護節點的防護規則，支持XStream服務端請求偽造漏洞(CVE-2020-26258)、XStream任意文件刪除漏洞(CVE-2020-26259)的防護。

奇安信網神天堤防火墻產品防護方案

奇安信新一代智慧防火墻（NSG3000/5000/7000/9000系列）和下一代極速防火墻（NSG3500/5500/7500/9500系列）產品系列，已通過更新IPS特征庫完成了對該漏洞的防護。建議用戶盡快將IPS特征庫升級至” 2012141900” 及以上版本并啟用規則ID:1231501和ID: 1231601進行檢測防御。

奇安信網神網絡數據傳感器系統產品檢測方案

奇安信網神網絡數據傳感器（NDS3000/5000/9000系列）產品，已具備以上漏洞的檢測能力。規則ID為：6106和6107，建議用戶盡快升級檢測規則庫至2012141910以后版本并啟用該檢測規則。

奇安信開源衛士已更新

奇安信開源衛士20201214. 529版本已支持對XStream服務端請求偽造漏洞（CVE-2020-26258）和Xstream任意文件刪除漏洞（CVE-2020-26259）的檢測。

奇安信天眼產品解決方案

奇安信天眼新一代威脅感知系統在第一時間加入了該漏洞的檢測規則，請將規則包升級到3.0.1214. 12537及以上版本。規則名稱：XStream 服務端請求偽造漏洞(CVE-2020-26258)，規則ID：0x10020B92。規則名稱：Xstream 任意文件刪除漏洞(CVE-2020-26259)，規則ID：0x10020B91。奇安信天眼流量探針（傳感器）升級方法：系統配置->設備升級->規則升級，選擇“網絡升級”或“本地升級”。

參考資料

[1] https://x-stream.github.io/CVE-2020-26258....

[2] https://x-stream.github.io/CVE-2020-26259....

時間線

2020年12月15日，奇安信 CERT發布安全風險通告

原創：奇安信 CERT
原文鏈接:https://mp.weixin.qq.com/s/CIpOSnJo-uZfqXq...