XStream < 1.4.20 栈缓冲区溢出漏洞

admin

0
文章

0
评论

2023-11-30 04:26:39 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 XStream < 1.4.20 栈缓冲区溢出漏洞

CVE编号

CVE-2022-41966

利用情况

暂无

补丁情况

N/A

披露时间

2022-12-28

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。在1.4.20之前的版本中存在栈缓冲区溢出漏洞，从而导致通过操纵已处理的输入流来造成拒绝服务。在使用集合和映射的哈希码来实现强制递归哈希计算时，远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。通过在调用应用程序中捕获 StackOverflowError，可以避免此漏洞的这种影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv
https://x-stream.github.io/CVE-2022-41966.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	xstream_project	xstream	*		Up to (excluding) 1.4.20
	运行在以下环境
	系统	amazon_2	xstream	*		Up to (excluding) 1.3.1-16.amzn2.0.1
	运行在以下环境
	系统	debian_10	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb10u4
	运行在以下环境
	系统	debian_11	libxstream-java	*		Up to (excluding) 1.4.15-3+deb11u2
	运行在以下环境
	系统	debian_12	libxstream-java	*		Up to (excluding) 1.4.20-1
	运行在以下环境
	系统	debian_sid	libxstream-java	*		Up to (excluding) 1.4.20-1
	运行在以下环境
	系统	fedora_EPEL_8	xstream-benchmark	*		Up to (excluding) 1.4.20-1.el8
	运行在以下环境
	系统	opensuse_Leap_15.4	xstream-javadoc	*		Up to (excluding) 1.4.20-150200.3.25.1
	运行在以下环境
	系统	ubuntu_18.04	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb10u4build0.18.04.1
	运行在以下环境
	系统	ubuntu_20.04	libxstream-java	*		Up to (excluding) 1.4.11.1-1ubuntu0.3
	运行在以下环境
	系统	ubuntu_22.04	libxstream-java	*		Up to (excluding) 1.4.18-2ubuntu0.1
	运行在以下环境
	系统	ubuntu_22.10	libxstream-java	*		Up to (excluding) 1.4.19-1ubuntu0.1

攻击路径 N/A
攻击复杂度 N/A
权限要求 N/A
影响范围 N/A
EXP成熟度 N/A
补丁情况 N/A
数据保密性 N/A
数据完整性 N/A
服务器危害 N/A
全网数量 N/A

CWE-ID	漏洞类型
CWE-120	未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出）
CWE-121	栈缓冲区溢出
CWE-502	可信数据的反序列化
CWE-674	未经控制的递归