XStReaM 是一个用于 Java 的 XML 序列化库,负责将对象序列化成 XML,或从 XML 还原对象。4 月 26 日,相关安全更新已发布,修复了 XStReaM 中发现的一处任意代码执行漏洞。以下是漏洞要点与影响信息。
漏洞详情
1.CVE-2021-21345 CVSS评分:8.5 严重程度:高
具备足够权限的远程攻击者可以通过处理处理过的输入流,在受影响主机上执行命令。这一漏洞对数据的机密性、完整性以及系统可用性构成显著威胁。
2.CVE-2021-21346 CVSS评分:8.1 严重程度:高
远程攻击者可以通过处理已处理的输入流,从远程主机加载并执行任意代码,对数据机密性、完整性和系统可用性造成威胁。
3.CVE-2021-21347 CVSS评分:8.1 严重程度:高
远程攻击者仅需操纵处理后的输入流,即可从远程主机加载并执行任意代码,风险同样高。
4.CVE-2021-21350 CVSS评分:8.1 严重程度:高
攻击者可能仅通过处理已处理的输入流就能够执行任意代码,对系统安全构成严重威胁。
受影响的产品与版本
Red Hat Enterprise Linux 7 x86_64
Red Hat Enterprise Linux Workstation 7 x86_64
Red Hat Enterprise Linux Desktop 7 x86_64
Red Hat Enterprise Linux for IBM z Systems 7 s390x
Red Hat Enterprise Linux for Power, Big Endian 7 ppc64
Red Hat Enterprise Linux for Scientific Computing 7 x86_64
Red Hat Enterprise Linux for Power, Little Endian 7 ppc64le
解决方案
要了解如何应用此次更新及相关变更,请查看官方公告中的详细信息,并访问官方网站获取升级指南与补丁下载。
