xstream-1.3.1-16.el7
エラータID: AXSA:2021-2499:04
以下項目に対処しました。
[Secuirty Fix]
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39139)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
CPU タイプによってはターゲットシステムに 100% の CPU 時間を割り当てたり、
ペイロードの並行実行によってサービス拒否を引き起こす脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39140)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39141)
- XStream には、処理された入力ストリームの操作によって、リモートの攻撃者が
ホスト上のコマンドを実行するのに十分な権限を持つことを許可する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、この脆弱性の
影響を受けません。(CVE-2021-39144)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。なお、
必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39145)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、このユーザーは
この脆弱性の影響を受けません。(CVE-2021-39146)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39147)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39148)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39149)
- XStream には、Java ランタイムを用いた処理された入力ストリームの操作によって、
リモートの攻撃者が公開していない内部リソースのデータをリクエストすることが
できる脆弱性があります。なお、必要最小限に制限されたホワイトリストを
使用して XStream のセキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39150)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39151)
- XStream には、Java ランタイムを用いて処理された入力ストリームの操作によって、
リモートの攻撃者が公開していない内部リソースのデータをリクエストすることが
できる脆弱性があります。なお、必要最小限に制限されたホワイトリストを使用して
XStream のセキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39152)
- XStream には、Java ランタイムや JavaFX がインストールされているバージョンを
使用している場合、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39153)
- XStream には、リモートの攻撃者が処理された入力ストリームの操作によって、
リモートホストから任意のコードを読み込み、実行する脆弱性があります。
なお、必要最小限に制限されたホワイトリストを使用して XStream の
セキュリティフレームワークを設定するという推奨事項に従う場合、
この脆弱性の影響を受けません。(CVE-2021-39154)
パッケージをアップデートしてください。
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. A user is only affected if using the version out of the box with JDK 1.7u21 or below. However, this scenario can be adjusted easily to an external Xalan that works regardless of the version of the Java runtime. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to allocate 100% CPU time on the target system depending on CPU type or parallel execution of such a payload resulting in a denial of service only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to request data from internal resources that are not publicly available only by manipulating the processed input stream with a Java runtime version 14 to 8. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. If you rely on XStream's default blacklist of the [Security Framework](https://x-stream.github.io/security.html#framework), you will have to use at least version 1.4.18.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to request data from internal resources that are not publicly available only by manipulating the processed input stream with a Java runtime version 14 to 8. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. If you rely on XStream's default blacklist of the [Security Framework](https://x-stream.github.io/security.html#framework), you will have to use at least version 1.4.18.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream, if using the version out of the box with Java runtime version 14 to 8 or with JavaFX installed. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker to load and execute arbitrary code from a remote host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
N/A
SRPMS
- xstream-1.3.1-16.el7.src.rpm
MD5: dc2ef222df7ffbca65f4d305a5787f78
SHA-256: 970e1296902a3aaed113bbc5af3b514b36cf0dbb21f6edc95af3f79ec69bfa38
Size: 7.04 MB
Asianux Server 7 for x86_64
- xstream-1.3.1-16.el7.noarch.rpm
MD5: 887b4ccac09044630ddce836a52da7ca
SHA-256: 3ee668b13fa2fbd3af21a0eae553c632c1e6742d75430e9256d3dff39143c2f6
Size: 376.80 kB
English