PT-2021-4766 · Xstream+5 · Xstream+5

Publicado

2021-03-12

·

Atualizado

2024-08-22

·

CVE-2021-21348

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
O problema diz respeito a uma biblioteca Java usada para serializar objetos para XML e vice-versa. Isso pode permitir que um invasor remoto ocupe uma thread, fazendo com que ela consuma o tempo máximo de CPU e nunca retorne. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada não são afetados. A vulnerabilidade pode ser explorada para causar uma negação de serviço ao consumir o tempo máximo da CPU.
Recomendações
Para resolver o problema, use pelo menos a versão 1.4.16 se você depende da lista negra padrão da estrutura de segurança do XStream.
Como solução temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários até que um patch seja aplicado.

Correção

Deserialization of Untrusted Data

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-400

Identificadores relacionados

ALT-PU-2022-1100
ALT-PU-2022-2171
ALT-PU-2022-7660
ALT-PU-2023-1912
BDU:2021-05485
BIT-ACTIVEMQ-2021-21348
CVE-2021-21348
DLA-2616-1
DSA-5004-1
GHSA-56P8-3FH9-4CVQ
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Ubuntu
Xstream