PT-2021-14435 · Xstream+5 · Xstream+5

Publicado

2021-03-16

·

Atualizado

2024-08-22

·

CVE-2021-21341

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
A vulnerabilidade permite que um invasor remoto aloque 100% do tempo de CPU no sistema alvo, dependendo do tipo de CPU ou da execução paralela de uma carga útil, resultando em uma negação de serviço por meio da manipulação do fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para resolver o problema, use pelo menos a versão 1.4.16 se você depende da lista negra padrão da Estrutura de Segurança do XStream. Como solução temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários até que um patch seja aplicado.

Exploit

Correção

DoS

Deserialization of Untrusted Data

Infinite Loop

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-835CWE-400

Identificadores relacionados

ALT-PU-2022-7660
BIT-ACTIVEMQ-2021-21341
CVE-2021-21341
DLA-2616-1
DSA-5004-1
GHSA-2P3X-QW9C-25HH
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
SUSE-SU-2021_1840-1
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Ubuntu
Xstream