XStream是一个Java XML序列化库,用于将对象序列化到XML或从XML反序列化对象。4月26日,Ubuntu发布了安全更新,修复了Java序列化库XStream发现的执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:1354
1.CVE-2021-21345 CVSS评分:8.5 严重程度:高
具有足够权限的远程攻击者可以通过处理已处理的输入流来执行主机的命令。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。
2.CVE-2021-21346 CVSS评分:8.1 严重程度:高
远程攻击者可以通过处理已处理的输入流,从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。
3.CVE-2021-21347 CVSS评分:8.1 严重程度:高
远程攻击者仅通过操纵处理后的输入流,便能够从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。
4.CVE-2021-21350 CVSS评分:8.1 严重程度:高
远程攻击者可能仅可以通过处理已处理的输入流来执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。
受影响产品和版本
上述漏洞影响:
Red Hat Enterprise Linux Server 7 x86_64
Red Hat Enterprise Linux Workstation 7 x86_64
Red Hat Enterprise Linux Desktop 7 x86_64
Red Hat Enterprise Linux for IBM z Systems 7 s390x
Red Hat Enterprise Linux for Power, big endian 7 ppc64
Red Hat Enterprise Linux for Scientific Computing 7 x86_64
Red Hat Enterprise Linux for Power, little endian 7 ppc64le
解决方案
有关如何应用此更新的详细信息,其中包括本通报中描述的更改,请参阅:
https://access.redhat.com/articles/11258
查看更多漏洞信息 以及升级请访问官网:
https://ubuntu.com/security/cve
