Ubuntu XML序列化库发现执行任意代码漏洞，需要尽快升

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

XStream是一个Java XML序列化库，用于将对象序列化到XML或从XML反序列化对象。4月26日，Ubuntu发布了安全更新,修复了Java序列化库XStream发现的执行任意代码漏洞。以下是漏洞详情：

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:1354

1.CVE-2021-21345 CVSS评分：8.5 严重程度：高

具有足够权限的远程攻击者可以通过处理已处理的输入流来执行主机的命令。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

2.CVE-2021-21346 CVSS评分：8.1 严重程度：高

远程攻击者可以通过处理已处理的输入流，从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

3.CVE-2021-21347 CVSS评分：8.1 严重程度：高

远程攻击者仅通过操纵处理后的输入流，便能够从远程主机加载并执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

4.CVE-2021-21350 CVSS评分：8.1 严重程度：高

远程攻击者可能仅可以通过处理已处理的输入流来执行任意代码。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。

受影响产品和版本

上述漏洞影响：

Red Hat Enterprise Linux Server 7 x86_64

Red Hat Enterprise Linux Workstation 7 x86_64

Red Hat Enterprise Linux Desktop 7 x86_64

Red Hat Enterprise Linux for IBM z Systems 7 s390x

Red Hat Enterprise Linux for Power, big endian 7 ppc64

Red Hat Enterprise Linux for Scientific Computing 7 x86_64

Red Hat Enterprise Linux for Power, little endian 7 ppc64le

解决方案

有关如何应用此更新的详细信息，其中包括本通报中描述的更改，请参阅：

https://access.redhat.com/articles/11258

查看更多漏洞信息 以及升级请访问官网：

https://ubuntu.com/security/cve

资讯来源：techweb