【漏洞通告】XStream反序列化漏洞-启明星辰

首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】XStream反序列化漏洞

发布时间 2020-12-14

0x00 漏洞概述

产品名称	CVE ID	类型	漏洞等级	远程利用
XStream	CVE-2020-26258	SSRF	中危	是
XStream	CVE-2020-26259	任意文件删除	高危	是

0x01 漏洞详情

2020年12月13日，XStream官方发布安全公告，公开了XStream中的两个反序列化漏洞（CVE-2020-26258和CVE-2020-26259）。详情如下：

XStream服务器端请求伪造漏洞（CVE-2020-26258）

XStream反序列化时处理的流包含用于重新创建以前写入的对象的类型信息，其基于这些类型信息创建新的实例。攻击者可以通过操纵已处理的输入流并替换或插入对象，从而发起服务器端伪造请求。攻击者可利用此漏洞从未公开的内部资源中请求数据。

漏洞复现：

创建一个简单的HashMap并使用XStream将其序列化为XML（也可使用JSON等其它受支持的格式）。用以下代码替换XML，然后用XStream反序列化它：

<map>

<entry>

<jdk.nashorn.internal.objects.NativeString>

<url>http://localhost:8080/internal/:</url>

</dataSource>

</dataHandler>

</value>

</jdk.nashorn.internal.objects.NativeString>

</entry>

</map>

XStream xstream = new XStream();

xstream.fromXML(xml);

一旦反序列化XML，就会执行Payload并收集来自URL位置的数据。

XStream任意文件删除漏洞（CVE-2020-26259）

如果攻击者拥有操纵已处理的输入流的执行进程的权限，则攻击者可以通过利用此漏洞删除主机上的任意文件。

漏洞复现：

创建一个简单的HashMap并使用XStream将其序列化为XML（也可使用JSON等其它受支持的格式）。用以下代码替换XML，然后用XStream反序列化它：

<map>

<entry>

<jdk.nashorn.internal.objects.NativeString>

<contentType>text/plain</contentType>

<tempFile>/etc/hosts</tempFile>

</is>

</dataSource>

</dataHandler>

</value>

</jdk.nashorn.internal.objects.NativeString>

</entry>

</map>

XStream xstream = new XStream();

xstream.fromXML(xml);

一旦反序列化XML，就会执行Payload并删除引用文件。

影响范围：

XStream : <=1.4.14

0x02 处置建议

目前XStream已经修复了相关漏洞，建议升级至1.4.15版本。

下载链接：

https://x-stream.github.io/changes.html#1.4.15

XStream 1.4.15以下版本可使用如下解决方法：

XStream 1.4.14需在XStream的安装代码中添加2行：

xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });

xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });

XStream 1.4.13需在XStream的安装代码中添加3行：

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });

xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });

XStream 1.4.7-1.4.12如果希望使用XStream的黑名单，需要拒绝以下类型：

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });

xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class, "jdk.nashorn.internal.objects.NativeString", java.beans.EventHandler.class, java.lang.ProcessBuilder.class, java.lang.Void.class, void.class });

xstream.denyTypesByRegExp(new String[]{ ".*\\$LazyIterator", "javax\\.crypto\\..*", ".*\\.ReadAllStream\\$FileStream" });

XStream 1.4.6及更低版本可以通过注册自己的Converter来防止Java运行时的关键类型被反序列化。

xstream.registerConverter(new Converter() {

public boolean canConvert(Class type) {

return type != null && (type == java.beans.EventHandler.class || type == java.lang.ProcessBuilder.class

|| type.getName().equals("javax.imageio.ImageIO$ContainsFilter") || type.getName().equals("jdk.nashorn.internal.objects.NativeString")

|| type == java.lang.Void.class || void.class || Proxy.isProxy(type))

|| type.getName().startsWith("javax.crypto.") || type.getName().endsWith("$LazyIterator") || type.getName().endsWith(".ReadAllStream$FileStream"));

}

public Object unmarshal(HierarchicalStreamReader reader, UnmarshallingContext context) {

throw new ConversionException("Unsupported type due to security reasons.");

}

public void marshal(Object source, HierarchicalStreamWriter writer, MarshallingContext context) {

throw new ConversionException("Unsupported type due to security reasons.");

}

}, XStream.PRIORITY_LOW);

0x03 参考链接

http://x-stream.github.io/CVE-2020-26259.html

https://github.com/x-stream/xstream/security/advisories/GHSA-4cch-wxpw-8p28

https://github.com/x-stream/xstream/security/advisories/GHSA-jfvx-7wrx-43fh

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26259

0x04 时间线

2020-12-13 XStream发布安全公告

2020-12-14 VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子赛博兴安云子可信

法律声明

网络安全防护

网络安全检测

应用安全

数据安全

安全管理

云安全

工控安全

移动及终端安全

密码应用安全

专业安全服务

安全运营中心

知白学院

威胁情报中心

安全通报

研究报告

安全团队

渠道体系

售后服务

升级公告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系我们

安全研究