XStream < 1.4.20 栈缓冲区溢出漏洞

最新推荐文章于 2024-10-09 16:45:30 发布
最新推荐文章于 2024-10-09 16:45:30 发布
阅读量2.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞情报订阅 文章标签: 安全 开源 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128478998
XStream 1.4.20及以前版本存在栈缓冲区溢出漏洞,允许远程攻击者通过操纵输入流导致拒绝服务。受影响的范围包括com.thoughtworks.xstream:xstream@(-∞, 1.4.20)。解决方案是升级到1.4.20或更高版本。参考链接提供了更多信息和官方补丁。" 80439736,7508806,Oracle与Java控制语句比较,"['数据库', '编程语言', 'Oracle语法', 'Java语法', '循环结构']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。

在使用集合和映射的哈希码来实现强制递归哈希计算时,远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。

通过在调用应用程序中捕获 StackOverflowError,可以避免此漏洞的这种影响。

该漏洞已存在 POC。

漏洞名称 XStream < 1.4.20 栈缓冲区溢出漏洞
漏洞类型 栈缓冲区溢出
发现时间 2022/12/28
漏洞影响广度 一般
MPS编号 MPS-2022-58603
CVE编号 CVE-2022-41966
CNVD编号 -

影响范围

com.thoughtworks.xstream:xstream@(-∞, 1.4.20)

修复方案

升级com.thoughtworks.xstream:xstream到 1.4.20 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-

最低0.47元/天 解锁文章
OSCS开源安全周报第24期:XStream 缓冲区溢出漏洞
OSCS开源安全社区
01-03 923
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-47939),Squid 存在整数溢出漏洞(CVE-2022-41318),MeterSphere
XStream
胡根得 天行健,君子以自强不息。
01-18 3521
1XStream概述   XStream可以把JavaBean对象转换成XML,通常服务器向客户端响应的数据都是来自数据库的一组对象,而我们不能直接把对象响应给响应端,所以我们需要把对象转换成XML再响应给客户端,这时就需要XStream。   也就是说,XStream是一门将对象转换成XML的技术。   XStream相关jar包:     ● 核心JAR包:xstream-1
xstream-1.4.20.jar
01-11
xstream-1.4.20.jar
XStream问题合集(升级版本,字段缺失)
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 1127
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xml,xml转JAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
XStream 代码问题漏洞(CVE-2021-21345)
FCH的博客
08-07 523
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
XStream1.3.X升级到1.4.X版本遇到问题
傲慢的上校的专栏
04-15 2748
原来为第三方提供jar包使用XStream1.3.X版本,后来升级到1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
xstream-1.4.20-1.el8.x64-86.rpm.tar.gz
最新发布
03-19
Centos8操作系统xstream-1.4.20-1.el8.rpm以及相关依赖,全打包为一个tar.gz压缩包 2、安装指令: #Step1、解压 tar -zxvf xstream-1.4.20-1.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
xstream-1.4.2
04-08
XStream深度解析:探索1.4.2版本的魅力》 XStream,作为一个强大的Java库,主要用于对象到XML以及XML到对象的序列化和反序列化。它的出现为开发者提供了便利,使得处理XML数据如同操作Java对象一般简单。在...
XML:XStream
熊诗言的博客
11-24 497
1 XStream的作用 XStream可以把JavaBean对象转换成XML! 通常服务器向客户端响应的数据都是来自数据库的一组对象,而我们不能直接把对象响应给响应端,所以我们需要把对象转换成XML再响应给客户端,这时就需要使用XStream组合了。   2 XStream入门 为了演示XStream的作用,我们需要先写两个类,Province和City。 City.java
XStream.NET版本
03-10
XStreamJava版本的对XML进行序列化以及反系列化的开源工具包 这是一个.net版本的XStream类库,使用方便
xstream-1.3.1.zip
11-02
包含xstream-1.3.1.jar一个jar包,可以根据实际需要下载使用。 由于是比较难找的jar,所以上传共享
xstream最新版 - xstream-1.4.18.jar
12-21
xstream最新版jar
xstream-1.4.3.jar.zip
04-30
XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。
xstream-1.4.jar
12-21
xstream jar包,java对象转xml以及xml转java对象,操作很简单。
XStream漏洞升级版本
yuchenai的博客
10-09 974
XStream版本漏洞修复
XML处理利器:XStream
程序员
02-24 1382
在项目中进行一些类似黑名单、白名单的配置时,需要多个文本文件,很麻烦。本文要通过XStream实现一个XML文件,配置多个功能。本文主要参考《Spring 3.X 企业应用开发实战》第14章内容,加了一下自己的理解,自己的应用。XStream概述XStream是一套简洁易用的开源框架,用于将java对象序列化为XML文件或者XML文件反序列化为java对象,是java对象和XML相互转换的利器。XS
xstream1.4.18升级版本问题
qq_29423323的博客
12-12 1289
xstream 升级版本问题
xstream1.4 下载
ab874379178的博客
11-06 1885
xstream1.4.2.jar下载
如何升级XStream 1.4.20
05-18
升级 XStream 1.4.20 可以按照以下步骤进行: 1. 在 Maven 或 Gradle 项目中,将 XStream 1.4.20 添加到依赖中: Maven: ``` <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId> <version>1.4.20</version> </dependency> ``` Gradle: ``` implementation 'com.thoughtworks.xstream:xstream:1.4.20' ``` 2. 如果您使用的是旧版本的 XStream,请确保您的代码与新版本兼容。您可以查看 XStream 的文档和发布说明以了解新版本的更改和改进。 3. 如果您使用的是旧版本的 XStream,您还需要更新您的代码中的导入语句。例如,如果您的代码中有以下导入语句: ``` import com.thoughtworks.xstream.XStream; ``` 您需要将其更新为: ``` import com.thoughtworks.xstream.XStream; ``` 4. 构建并测试您的项目,确保所有功能都按预期工作。 希望这些步骤能够帮助您升级到 XStream 1.4.20
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值