操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2023-1873)

摘要:

xstream security update

安全等级: High

公告ID: KylinSec-SA-2023-1873

发布日期: 2023年12月15日

关联CVE: CVE-2022-40151 CVE-2022-41966

详细介绍

1. 漏洞描述

XStream是一个简单的库，用于将对象序列化为XML并返回。提供了一个高级外观，简化了常见用例。自定义对象可以序列化，无需指定映射。速度和低内存占用是设计的关键部分，使其适用于具有高消息吞吐量的大型对象图或系统。没有可以通过反射获得的重复信息。这使得XML更易于人类阅读，并且比原生Java序列化更紧凑。XStream序列化内部字段，包括private和final。支持非公共类和内部类。类不需要有默认构造函数。对象模型中遇到的重复引用将被保留。支持循环引用。通过实现接口，XStream可以直接序列化到任何树结构（而不仅仅是XML）。可以注册策略，允许自定义特定类型如何表示为XML。当由于XML格式错误而发生异常时，会提供详细的诊断来帮助隔离和修复问题。

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2022-40151	KY3.4-4A	xstream	Fixed
CVE-2022-40151	KY3.4-5A	xstream	Fixed
CVE-2022-40151	KY3.5.1	xstream	Fixed
CVE-2022-40151	KY3.5.2	xstream	Fixed
CVE-2022-41966	KY3.4-4A	xstream	Fixed
CVE-2022-41966	KY3.4-5A	xstream	Fixed
CVE-2022-41966	KY3.5.1	xstream	Fixed
CVE-2022-41966	KY3.5.2	xstream	Fixed

3. 影响组件

xstream

4. 修复版本

KY3.5.1

软件名称	架构	版本号
xstream-parent	noarch	1.4.20-1.kb2.ky3_5
xstream-hibernate	noarch	1.4.20-1.kb2.ky3_5
xstream-benchmark	noarch	1.4.20-1.kb2.ky3_5
xstream-javadoc	noarch	1.4.20-1.kb2.ky3_5
xstream	noarch	1.4.20-1.kb2.ky3_5

KY3.4-4A

软件名称	架构	版本号
xstream-hibernate	noarch	1.4.20-1.kb1.ky3_4
xstream-javadoc	noarch	1.4.20-1.kb1.ky3_4
xstream-benchmark	noarch	1.4.20-1.kb1.ky3_4
xstream-parent	noarch	1.4.20-1.kb1.ky3_4
xstream	noarch	1.4.20-1.kb1.ky3_4

KY3.4-5A

软件名称	架构	版本号
xstream-parent	noarch	1.4.20-1.kb1.ky3_4
xstream-hibernate	noarch	1.4.20-1.kb1.ky3_4
xstream	noarch	1.4.20-1.kb1.ky3_4
xstream-javadoc	noarch	1.4.20-1.kb1.ky3_4
xstream-benchmark	noarch	1.4.20-1.kb1.ky3_4

KY3.5.2

软件名称	架构	版本号
xstream-hibernate	noarch	1.4.20-1.ky3_5
xstream-benchmark	noarch	1.4.20-1.ky3_5
xstream-parent	noarch	1.4.20-1.ky3_5
xstream-javadoc	noarch	1.4.20-1.ky3_5
xstream	noarch	1.4.20-1.ky3_5