云安全日报210713：红帽XML序列化库发现远程命令

XStream是一个Java XML序列化库，用于将对象序列化到XML或从XML反序列化对象。7月12日，RedHat发布了安全更新,修复了Java序列化库XStream发现的远程命令执行攻击漏洞。以下是漏洞详情

漏洞详情

来源https://aess.redhat./errata/RHSA-2021:2683

CVE-2021-29505 CVSS评分7.5 严重程度高

在XStream中发现了一个漏洞。通过操纵处理后的输入流，远程攻击者可能能够获得足够的权限来执行命令。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

受影响产品和版本

Red Hat Enterprise Linux Server 7 x86_64

Red Hat Enterprise Linux Workstation 7 x86_64

Red Hat Enterprise Linux Desk 7 x86_64

Red Hat Enterprise Linux for IBM z Systems 7 s390x

Red Hat Enterprise Linux for Poer, big endian 7 ppc64

Red Hat Enterprise Linux for Scientific Computing 7 x86_64

Red Hat Enterprise Linux for Poer, little endian 7 ppc64le

解决方案

RedHat已发布安全更新,有关如何应用此更新（包括本公告中描述的更改）的详细信息，请参阅

https://aess.redhat./articles/11258

查看更多漏洞信息 以及升级请访问官网

https://aess.redhat./security/security-updates/#/security-advisories