目录

漏洞详情

1.XStream拒绝服务漏洞

漏洞介绍：

XStream是Java类库，用来将对象序列化成XML（JSON）或反序列化为对象。XStream提供了所有的基础类型、数组、集合等类型直接转换的支持，因此 XML 常用于数据交换、对象序列化。

漏洞危害：

XStream中存在堆栈溢出漏洞，该漏洞允许未经身份认证的远程攻击者通过操纵输入流来替换或注入对象造成堆栈溢出，从而导致拒绝服务。

漏洞编号：

CVE-2022-41966

影响范围：

XStream < 1.4.20

修复方案：

临时缓解措施：
1、在调用XStream的代码中捕获StackOverflowError异常。
2、如果对象图不引用任何元素，可以设置为NO_REFERENCE模式:
XStream xstream = new XStream();
xstream.setMode(XStream.NO_REFERENCES);
3、如果对象图既不包含Hashtable、HashMap也不包含HashSet（或它的其他变种），那么可以使用安全框架来拒绝使用这些类型:
XStream xstream = new XStream();
xstream.denyTypes(new Class[]{
java.util.HashMap.class, java.util.HashSet.class, java.util.Hashtable.class, java.util.LinkedHashMap.class, java.util.LinkedHashSet.class
});
4、如果只使用HashMap或HashSet并且XML仅将这些引用为默认值映射或集合时，还可以更新反序列化时java.util.Map和java.util.Set的默认实现：
xstream.addDefaultImplementation(java.util.TreeMap.class, java.util.Map.class);
xstream.addDefaultImplementation(java.util.TreeSet.class, java.util.Set.class);

来源：安恒信息CERT

2.Apache ShardingSphere身份认证绕过漏洞

漏洞介绍：

Apache ShardingSphere 是一套开源的分布式数据库中间件解决方案组成的生态圈，它由 Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar（计划中）这 3 款相互独立，却又能够混合部署配合使用的产品组成。它们均提供标准化的数据分片、分布式事务和数据库治理功能，可适用于如 Java 同构、异构语言、云原生等各种多样化的应用场景。

漏洞危害：

该漏洞存在于Apache ShardingSphere-Proxy中，当Apache ShardingSphere-Proxy使用MySQL作为后端数据库，并且在客户端认证失败后并没有完全清理数据库会话，攻击者便可以通过构造一个特殊的MySQL客户端来绕过身份认证并执行查询指令。

影响范围：

Apache ShardingSphere < 5.3.0

修复建议：

及时测试并升级到最新版本或升级版本。

来源：360CERT