99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

關(guān)于XStream拒絕服務(wù)漏洞的預(yù)警通報

發(fā)布日期：2024-11-12

[2024]021號

漏洞描述

2024年11月12日監(jiān)測發(fā)現(xiàn)XStream存在拒絕服務(wù)漏洞(CVE-2024-47072)，該漏洞是由于當(dāng)XStream 配置為使用 BinaryStreamDriver時，反序列化某些特定輸入時處理不當(dāng)，導(dǎo)致攻擊者可以通過構(gòu)造特定的二進(jìn)制數(shù)據(jù)流作為輸入，從而在反序列化時進(jìn)入無限遞歸，觸發(fā)棧溢出，使得應(yīng)用程序崩潰并導(dǎo)致服務(wù)中斷，造成拒絕服務(wù)。

XStream 是一個用于在 Java 對象和 XML 之間相互轉(zhuǎn)換的工具，它能夠?qū)?Java 對象序列化為 XML 或 JSON 格式，也可以將 XML 或 JSON 格式的數(shù)據(jù)反序列化為 Java 對象，從而簡化了數(shù)據(jù)的存儲、傳輸和恢復(fù)。BinaryStreamDriver是XStream提供的一個驅(qū)動，它使用了一種優(yōu)化的二進(jìn)制格式來進(jìn)行序列化與反序列化操作。

漏洞編號

CVE-2024-47072

漏洞危害

允許遠(yuǎn)程攻擊者利用這一漏洞，僅通過操縱已處理的輸入流來終止應(yīng)用程序，并顯示堆棧溢出錯誤，從而導(dǎo)致拒絕服務(wù)。

漏洞等級

高危
受影響版本

XStream < 1.4.21

修復(fù)方案

目前該漏洞已經(jīng)修復(fù)，受影響用戶可升級到以下版本：

XStream >= 1.4.21

https://x-stream.github.io/download.html

參考鏈接

https://x-stream.github.io/CVE-2024-47072.html