云安全日报210426:Ubuntu XML序列化库发现执行任意代码漏洞,需要尽快升级

XStream是一个Java XML序列化库,用于将对象序列化到XML或从XML反序列化对象。4月26日,Ubuntu发布了安全更新,修复了Java序。

XStream是一个Java XML序列化库,用于将对象序列化到XML或从XML反序列化对象。4月26日,Ubuntu发布了安全更新,修复了Java序列化库XStream发现的执行任意代码漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:1354

1.CVE-2021-21345 CVSS评分:8.5 严重程度:高

具有足够权限的远程攻击者可以通过处理已处理的输入流来执行主机的命令。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

2.CVE-2021-21346 CVSS评分:8.1 严重程度:高

远程攻击者可以通过处理已处理的输入流,从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

3.CVE-2021-21347 CVSS评分:8.1 严重程度:高

远程攻击者仅通过操纵处理后的输入流,便能够从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

4.CVE-2021-21350 CVSS评分:8.1 严重程度:高

远程攻击者可能仅可以通过处理已处理的输入流来执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

受影响产品和版本

上述漏洞影响:

Red Hat Enterprise Linux Server 7 x86_64

Red Hat Enterprise Linux Workstation 7 x86_64

Red Hat Enterprise Linux Desktop 7 x86_64

Red Hat Enterprise Linux for IBM z Systems 7 s390x

Red Hat Enterprise Linux for Power, big endian 7 ppc64

Red Hat Enterprise Linux for Scientific Computing 7 x86_64

Red Hat Enterprise Linux for Power, little endian 7 ppc64le

解决方案

有关如何应用此更新的详细信息,其中包括本通报中描述的更改,请参阅:

https://access.redhat.com/articles/11258

查看更多漏洞信息 以及升级请访问官网:

https://ubuntu.com/security/cve

给TA打赏
共{{data.count}}人
人已打赏
云计算

Deepfake这次不换脸了,直接换了座城市

2021-4-26 11:20:06

云计算

如何通过数据驱动的分析方法实现可持续发展

2021-4-26 16:13:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索