摘要:
xstream security update
安全等级: High
公告ID: KylinSec-SA-2024-4209
发布日期: 2024年11月15日
关联CVE: CVE-2024-47072
XStream 是一个简单的库,用于将对象序列化为 XML 并再次反序列化。它提供了一个高级外观,简化了常见用例。自定义对象可以在不需要指定映射的情况下进行序列化。速度和低内存占用是设计的关键部分,使其适合于大型对象图或高消息吞吐量的系统。通过反射可以获取的信息不会重复,这使得生成的 XML 更易于人类阅读,并且比原生 Java 序列化更紧凑。XStream 序列化内部字段,包括私有和 final 字段。支持非公开和内部类。类不需要有默认构造函数。在对象模型中遇到的重复引用将被维护。支持循环引用。通过实现一个接口,XStream 可以直接序列化/反序列化到/从任何树结构(不仅仅是 XML)。可以注册策略,允许自定义特定类型如何以 XML 形式表示。当由于格式错误的 XML 导致异常时,会提供详细的诊断信息,以帮助隔离和修复问题。
安全修复:
XStream 提供了一个带有自己优化序列化格式的 BinaryStreamDriver。该格式使用字符串值的 ID 作为去重。这些 ID 的映射在序列化时动态创建。在反序列化时,reader_x27;s 的实现在读取映射令牌后简单地使用一次性递归来处理数据流的下一个正常令牌。然而,通过操纵输入数据可以触发无尽的递归,导致栈溢出,从而造成服务拒绝。(CVE-2024-47072)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-47072 | KY3.4-5A | xstream | Fixed |
| CVE-2024-47072 | KY3.5.2 | xstream | Fixed |
| CVE-2024-47072 | V6 | xstream | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| xstream | noarch | 1.4.20-2.kb1.ky3_4 |
| xstream-benchmark | noarch | 1.4.20-2.kb1.ky3_4 |
| xstream-hibernate | noarch | 1.4.20-2.kb1.ky3_4 |
| xstream-javadoc | noarch | 1.4.20-2.kb1.ky3_4 |
| xstream-parent | noarch | 1.4.20-2.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| xstream | noarch | 1.4.20-2.ks6 |
| xstream-benchmark | noarch | 1.4.20-2.ks6 |
| xstream-hibernate | noarch | 1.4.20-2.ks6 |
| xstream-javadoc | noarch | 1.4.20-2.ks6 |
| xstream-parent | noarch | 1.4.20-2.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| xstream | noarch | 1.4.20-2.ky3_5 |
| xstream-benchmark | noarch | 1.4.20-2.ky3_5 |
| xstream-hibernate | noarch | 1.4.20-2.ky3_5 |
| xstream-javadoc | noarch | 1.4.20-2.ky3_5 |
| xstream-parent | noarch | 1.4.20-2.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
