遠端 Debian 10/11 主機上安裝的套件受到 dsa-5004 公告中提及的多個弱點影響。

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中有一個弱點，遠端攻擊者可以根據 CPU 類型或此類承載的平行執行，在目標系統上配置 100％ CPU 時間，導致僅透過操控已處理的輸入資料流即可引發拒絕服務。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21341)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中有一個弱點，其中取消編組時處理的資料流在重新建立先前寫入的物件時會包含類型資訊。XStream 因此會根據這些類型資訊建立新的執行個體。攻擊者可操控處理過的輸入資料流，並取代或插入物件，進而導致伺服器端偽造要求。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21342)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中有一個弱點，其中取消編組時處理的資料流在重新建立先前寫入的物件時會包含類型資訊。XStream 因此會根據這些類型資訊建立新的執行個體。攻擊者可操控處理過的輸入資料流，並取代或插入物件，進而導致刪除本機主機上的檔案。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21343)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。- 在 XStream 1.4.16 之前版本中，有一個弱點允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。(CVE-2021-21344、CVE-2021-21346、CVE-2021-21347)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。- 在 XStream 1.4.16 之前版本中，有一個弱點允許具有充分權限的遠端攻擊者僅透過操控已處理的輸入資料流來執行主機命令。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。(CVE-2021-21345)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中，有一個弱點允許遠端攻擊者佔用會消耗最多 CPU 時間且永遠不會傳回的執行緒。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21348)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中，有一個弱點允許遠端攻擊者僅透過操控經處理的輸入資料流，從未公開的內部資源要求資料。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。(CVE-2021-21349)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。- 在 XStream 1.4.16 之前版本中，有一個弱點允許遠端攻擊者僅透過操控已處理的輸入資料流來執行任意程式碼。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21350)

  - XStream 是一個 Java 程式庫，可將物件序列化為 XML 並進行反序列化。在 XStream 1.4.16 之前版本中，有一個弱點允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。如果您仰賴 XStream 的安全架構預設封鎖清單，則必須至少使用 1.4.16 版。
    (CVE-2021-21351)

  - XStream 是一個軟體，可將 Java 物件序列化為 XML 並進行反序列化。在 1.4.17 之前的 XStream 版本中有一個弱點，可能會允許具有充分權限的遠端攻擊者僅透過操控已處理的輸入資料流來執行主機命令。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。此弱點已在 1.4.17 版中修補。(CVE-2021-29505)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，此弱點可能會允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。只有在搭配 JDK 1.7u21 或更低版本使用現成版本時，使用者才會受到影響。但是，無論 Java 執行階段是什麼版本，都可以輕鬆地將此情況調整為適用的外部 Xalan。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。XStream 1.4.18 預設不再使用封鎖名單，因為它無法保護一般用途。(CVE-2021-39139)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，此弱點可能會允許遠端攻擊者根據 CPU 類型或此類承載的平行執行，在目標系統上配置 100％ CPU 時間，導致僅透過操控已處理的輸入資料流即可引發拒絕服務。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。XStream 1.4.18 預設不再使用封鎖名單，因為它無法保護一般用途。(CVE-2021-39140)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，此弱點可能會允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。XStream 1.4.18 預設不再使用封鎖名單，因為它無法保護一般用途。(CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39154)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，此弱點可能會允許具有充分權限的遠端攻擊者僅透過操控已處理的輸入資料流來執行主機命令。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。XStream 1.4.18 預設不再使用封鎖名單，因為它無法保護一般用途。(CVE-2021-39144)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，此弱點可能會允許遠端攻擊者僅透過使用 Java 執行階段 14 至 8 版操控已處理的輸入資料流，從非公開可用的內部資源要求資料。遵循建議設定 XStream 的安全架構，並將允許清單限制為所需的最少類型的使用者不受影響。如果您仰賴 XStream 的 [安全架構](https://x-stream.github.io/security.html#framework) 預設封鎖清單，則必須至少使用 1.4.18 版。(CVE-2021-39150、CVE-2021-39152)

  - XStream 是一個簡易的程式庫，可將物件序列化為 XML 並進行反序列化。在受影響的版本中，如果搭配 Java 執行階段 14 到 8 版本使用現成版本，或安裝 JavaFX 時，此弱點可能會允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。遵循建議設定 XStream 的安全架構並將允許清單限定為最低要求類型的使用者皆不會受到影響。XStream 1.4.18 預設不再使用封鎖名單，因為它無法保護一般用途。(CVE-2021-39153)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DSA-5004-1：libxstream-java - 安全性更新

critical Nessus Plugin ID 155294

版本 1.7

版本 1.6

版本 1.5

版本 1.4

版本 1.7 Mar 10, 2023, 11:54 PM CISA reference CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C") Plugin Feed: 202303102354
版本 1.6 Jan 23, 2023, 4:10 PM Exploit attributes ("Exploit framework core" set to "True") Plugin Feed: 202301231610
版本 1.5 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254
版本 1.4 Nov 16, 2022, 9:51 PM Exploit attributes CVSS temporal metrics Plugin Feed: 202211162151