XStream < 1.4.20 栈缓冲区溢出漏洞

news2024/12/31 6:40:43

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。

在使用集合和映射的哈希码来实现强制递归哈希计算时,远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。

通过在调用应用程序中捕获 StackOverflowError,可以避免此漏洞的这种影响。

该漏洞已存在 POC。

漏洞名称XStream < 1.4.20 栈缓冲区溢出漏洞
漏洞类型栈缓冲区溢出
发现时间2022/12/28
漏洞影响广度一般
MPS编号MPS-2022-58603
CVE编号CVE-2022-41966
CNVD编号-

影响范围

com.thoughtworks.xstream:xstream@(-∞, 1.4.20)

修复方案

升级com.thoughtworks.xstream:xstream到 1.4.20 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-58603

https://github.com/x-stream/xstream/commit/e9151f221b4969fb15b1e946d5d61dcdd459a391

http://x-stream.github.io/CVE-2022-41966.html

https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/127931.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一文掌握FastDeploy Serving服务化部署(打造线上证件照制作系统,含完整代码)

目录一、概述1.1 服务化部署1.2 FastDeploy简介二、搭建线上证件照制作系统2.1 准备环境2.1.1 安装Docker2.1.2 安装NVIDIA Container Toolkit2.1.3 获取FastDeploy Serving镜像2.2 部署模型2.2.1 准备模型仓库2.2.2 编写配置文件config.pbtxt2.2.3 服务启动2.3.4 测试访问2.3 …

盒子模型、CSS 中选择器优先级以及权重计算、px、em 和 rem 的区别

CSS 的盒模型&#xff1f; 盒子模型&#xff08;Box Modle&#xff09;可以用来对元素进行布局&#xff0c;包括内边距&#xff0c;边框&#xff0c;外边距&#xff0c;和实际 内容这几个部分 盒子模型分为两种 第一种是 W3C 标准的盒子模型&#xff08;标准盒模型&#xff09;…

微软 Outlook 如何修改邮件列表中的字体或字号

因为电脑的操作系统是默认英文的&#xff0c;默认的字体实在是太难看了。 解决方案 我们是可以对字体进行修改的。 例如修改成下面的方案。 选择视图 首先&#xff0c;先选定顶部的视图。 然后在当前的视图下&#xff0c;选择视图设置。 随后在弹出的窗口中&#xff0c;选择…

一劳永逸解决latex 80%bug

Latex编辑器也用过很多了&#xff0c;这种问题出现&#xff0c;一般就是}没对应啥的&#xff0c;但是这次检查了半天&#xff0c;就是找不到问题。 最后有一个快捷的解决方案&#xff0c;就是overleafhttps://www.overleaf.com/project/6347bab20a4c120392547ff3 写文章五六年…

美颜sdk是如何美化皮肤的?

当下&#xff0c;互联网娱乐飞速发展&#xff0c;一些社交拍摄的平台逐渐爆火&#xff0c;例如短视频和直播类平台&#xff0c;此类平台基本都需要真人出镜&#xff0c;因此大家或多或少都有些“颜值焦虑”&#xff0c;平台方也正是因为这个原因&#xff0c;开始为大家接入美颜…

Mathorcup数学建模竞赛第五届-【妈妈杯】D题:图像去噪中几类稀疏变换的矩阵表示(附特等奖获奖论文和matlab代码实现)

赛题描述 假设一幅二维灰度图像 X 受到加性噪声的干扰:Y=X+N , Y 为观察到的噪声图像, N 为噪声。通过对于图像 Y 进行稀疏表示可以达到去除噪声的目的。任务: 2. 利用 Cameraman 图像中的一个小图像块(见图 1 )进行验证。 3. 分析稀疏系数矩阵,比较四种方法…

写作历时一个月,长达8000字的年终总结——[2022年终总结]不要怕,请勇敢的向前走

个人博客&#xff1a;武师叔 ❤️ 做一个有趣而不甘平庸的人&#xff01;&#xff01;❤️ 哈喽哈喽&#xff0c;好久不见&#xff0c;我的老朋友最近还好吗 距离上次7.21凌晨1:06完稿的【年中总结】&#xff0c;下半年也匆匆过去啦~ 其实总的来说&#xff0c;下半年过得并不…

医药流通企业如何安全访问医药ERP?无需公网IP和改变现有IT架构

随着目前医药流通行业竞争的加剧&#xff0c;市场供应日趋饱和&#xff0c;传统的粗放式管理缺陷逐渐暴露&#xff0c;导致从事医药行业企业的利润不同程度的下滑&#xff0c;想要满足医药行业客户的个性化需求&#xff0c;为适应企业未来发展&#xff0c;医药流通行业越来越多…

2022 IoTDB Summit:Apache IoTDB PMC 张金瑞《为物联网场景优化的时序数据库共识协议》...

12 月 3 日、4日&#xff0c;2022 Apache IoTDB 物联网生态大会在线上圆满落幕。大会上发布 Apache IoTDB 的分布式 1.0 版本&#xff0c;并分享 Apache IoTDB 实现的数据管理技术与物联网场景实践案例&#xff0c;深入探讨了 Apache IoTDB 与物联网企业如何共建活跃生态&#…

再学C语言19:循环控制语句——关系运算符

关系表达式&#xff08;relational expression&#xff09;&#xff1a;进行比较的判断表达式 关系运算符&#xff08;relational operator&#xff09;&#xff1a;关系表达式中出现的运算符 一、关系运算符 关系运算符运算符含义<小于<小于或等于等于>大于或等于&…

第二十一讲:神州路由器RIP路由的配置

设备 端口 IP 子网掩码 网关 Router-A F0/0 192.168.1.1 255.255.255.0 无 F0/3 192.168.10.1 255.255.255.0 无 Router-B F0/0 192.168.1.2 255.255.255.0 无 F0/3 192.168.20.1 255.255.255.0 无 PC1 192.168.10.2 255.255.255.0 192.168.10.1 PC…

超店有数丨tiktok必备选品和带货技巧!小白秒变大神!

有一些刚刚入门的小白缺乏跨境电商选品灵感&#xff0c;苦于不知道从哪里挖掘爆款产品&#xff0c;不知如何发现热门商家。如果你也面临着这些困扰&#xff0c;可以试试超店有数&#xff0c;它是专业的第三方数据服务平台&#xff0c;能够帮助商家发现热门种草视频、进行小店数…

【C++、数据结构】二叉搜索树 模拟实现

文章目录&#x1f4d6; 前言1. 二叉搜索树2. 二叉搜索树的模拟实现2.1 结点的声明2.2 基本的几个成员函数非递归版本&#xff08;1&#xff09;查找&#xff1a;&#xff08;2&#xff09;插入&#xff1a;&#xff08;4&#xff09;删除&#xff1a;&#xff08;重点&#xff…

你阳了吗?可以接种最新加强针疫苗了!

今天不聊技术&#xff0c;唠唠嗑。刚才得知室友全部阳了&#xff0c;不知道我还能撑到多会&#x1f926;‍♂️当前时间&#xff0c;距离全国抗疫政策转向已有一个月时间&#xff0c;大家都不可避免的直面新冠病毒。奥密克戎的传播能力果然很强&#xff0c;短短半个月时间从周围…

Docker- 7.2、跨主机网络-overlay

Docker提供了overlay driver&#xff0c;使用户可以创建基于VxLan的overlay网络。VxLAN可将二层数据封装到UDP进行传输&#xff0c;VxLAN提供与VLAN相同的以太网二层服务&#xff0c;但拥有更强的扩展性和灵活性。Docker overlay网络需要一个key-value数据库用于保存网络状态信…

嵌入式C语言设计模式 --- 工厂方法模式

1 - 什么是工厂方法模式? 前一篇文章讲述了在使用简单工厂模式的时候,有一个明显的缺陷,就是我们添加一款新的LCD控制器的时候,需要修改工厂类的构造函数(因为只有一家工厂),在switch-case里面新增一个条件项,违背了面向对象设计的“开闭原则”。 为了解决这个问题,可…

让自己成为一个创作者

写博客三年多&#xff0c;创作不易&#xff0c;以下是自己的一点感悟&#xff0c;大家共勉&#xff01; “千万不要把“创作”当成是一件很大的事情&#xff0c;那只是思维方式和行为的转变而已&#xff01;” 01 — 我有个爱好--打游戏&#xff0c; 特别喜欢宫崎英高的魂系…

【JavaSE成神之路】数组结构的概念与应用技术

哈喽&#xff0c;我是兔哥呀&#xff0c;今天就让我们继续这个JavaSE成神之路&#xff01; 这一节啊&#xff0c;咱们要学习的内容是数组的概念与应用技术。 乍一听还挺唬人的有没有&#xff0c;数组这个东西呢并不是什么新的知识啦&#xff0c;之前的章节中我们已经学习过数组…

Linux虚拟机安装Hive(mysql安装)

Hive安装第01节 Hive安装部署1. 安装前准备2. 安装MySQL3. Hive安装配置4. metastore服务第02节. Hive客户端的使用1. 客户端介绍2. HiveServer2服务3. Hive CLI的使用4. beeline客户端5. DataGrip可视化客户端第02节 Hive简单使用1. 基本操作2. 查看YARN及HDFS3. 总结第01节 H…

Java开发 - 双链表其实不可怕

前言 说起链表&#xff0c;那还是当初上学的时候学习的&#xff0c;印象里就觉得像锁链一样一环扣一环&#xff0c;后来工作后就几乎没实际接触过链表&#xff0c;每当遇到链表&#xff0c;总是不知道该怎么讲&#xff0c;因为对链表的本质一无所知。也是在学习了Java后&#…