XStream CVE-2022-41966 拒绝服务漏洞通告

Release Date ： 2022-12-30 10:23:53 Update Date ： 2022-12-30 10:23:48 Author ：

【Abstract】近日，华为感知到XStream官方发布安全公告，修复了一个拒绝服务漏洞，漏洞编号CVE-2022-41966，CVSS评分8.2，漏洞等级高危。

漏洞概述

近日，华为感知到XStream官方发布安全公告，修复了一个拒绝服务漏洞，漏洞编号CVE-2022-41966，CVSS评分8.2，漏洞等级高危。

XStream是一款JAVA对象和XML相互转换的组件，该漏洞是XStream将XML反序列化为对象时存在栈溢出导致。远程攻击者通过操纵输入数据，构造特殊的XML触发栈溢出，导致拒绝服务。鉴于漏洞影响范围较大，且技术细节与POC已公开，建议广大用户尽快升级，避免遭受黑客的攻击。

关键信息

标题	内容
漏洞编号	CVE-2022-41966
评分	8.2
漏洞名称	XStream CVE-2022-41966 拒绝服务漏洞
类型	拒绝服务
漏洞利用条件和危害	未经身份认证的远程攻击者，通过操纵输入，提交特殊构造的XML数据，可触发栈溢出，导致拒绝服务。
远程利用	是
攻击复杂度	中
POC/EXP	POC已公开
在野利用	未知

受影响的版本

- XStream < 1.4.20

解决方案

1. 华为解决方案

华为在感知到该漏洞信息以后，安全研究人员持续关注相关信息，复现漏洞，并开发IPS防护签名。目前最新IPS签名库已推送到升级网站，可供客户升级使用。

标题	内容	备注
IPS签名库版本	20221230**	**不同型号库的编码，日期比这个新的版本都可以防护此漏洞
签名ID	727640：XStream CVE-2022-41966 拒绝服务漏洞
支持的设备类型	USG 6000/6000E/9000系列，Eudemon 1000E/8000E/9000E系列，NIP6000系列，IPS6000/12000以上系列产品	具体情况，请参考IPS签名库下载网址
设备自动升级	联网设备可以自动升级，无需人工操作	可以在设备上查看IPS签名库版本是否已经升级到最新。
设备手动升级	从https://isecurity.huawei.com/sec/web/freesignature.do网站下载对应的离线升级包，手工加载到设备。

2. 厂商解决方案

官方已修复漏洞，可以升级到XStream 1.4.20或更高版本：

https://x-stream.github.io/download.html

参考链接

https://x-stream.github.io/CVE-2022-41966.html

【Copyright Notice】 This article is the original content of HUAWEI Security Center. When reprinting, you must indicate the source (HUAWEI Security Center), link and author of the article, otherwise you may be held liable.If you find any suspected infringing content on this website, please visit the Feedback page to report and provide relevant evidence. Once verified, we will immediately remove the allegedly infringing content.

BackTop

Comment

2	0
Like	Disagree

Security Notice

Research

Signature Update

Knowledge Base Query

Intelligence Query

FireHunter-Cloud FireHunter-Cloud

My Device

Support

XStream CVE-2022-41966 拒绝服务漏洞通告

漏洞概述

关键信息

受影响的版本

解决方案

参考链接