热点评！XStream 拒绝服务漏洞 (CVE-2022-41966) 安全风险通告

XStream是一个Java对象和XML相互转换的工具，用来将对象序列化成XML(JSON)或将XML反序列化为对象，并提供所有的基础类型、数组、集合等类型直接转换的支持。

近日，奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966)，XStream在将XML反序列化为对象时存在堆栈溢出，未经身份验证的远程攻击者通过操纵输入流，使XStream在递归散列计算时触发堆栈溢出，导致拒绝服务。目前，此漏洞技术细节与POC已公开。鉴于此漏洞影响范围较大，建议客户尽快做好自查，及时更新至最新版本。

奇安信CERT已成功复现XStream 拒绝服务漏洞(CVE-2022-41966)，截图如下：

威胁评估

处置建议

1、安全更新

目前XStream官方已发布安全版本修复该漏洞，建议受影响用户尽快更新至对应的安全版本。

https://x-stream.github.io/download.html

2、缓解措施

在调用XStream的代码中捕获StackOverflowError 异常，如：

如果对象图不引用任何元素，可以设置为NO_REFERENCE模式:

XStream xstream =new XStream();xstream.setMode(XStream.NO_REFERENCES);

如果对象图既不包含Hashtable、HashMap也不包含 HashSet（或它其他变种），那么可以使用安全框架来拒绝使用这些类型:

XStream xstream = new XStream();xstream.denyTypes(new Class[]{java.util.HashMap.class, java.util.HashSet.class, java.util.Hashtable.class, java.util.LinkedHashMap.class, java.util.LinkedHashSet.class});

可更新反序列化时 java.util.Map和java.util.Set的默认实现：

xstream.addDefaultImplementation(java.util.TreeMap.class,java.util.Map.class);xstream.addDefaultImplementation(java.util.TreeSet.class,java.util.Set.class);

参考资料

[1]https://x-stream.github.io/CVE-2022-41966.html

标签： 拒绝服务 反序列化 身份验证