XStream

Die Schwachstelle betrifft XStream, eine Java-Bibliothek, die Objekte in XML umwandelt und aus XML wieder einliest. Der Fehler liegt in der Verarbeitung des eingelesenen Datenstroms: Ein Angreifer kann den verarbeiteten Eingabestrom so manipulieren, dass beim Deserialisieren Objekte ausgetauscht oder eingeschleust werden. Dadurch lässt sich auf dem Server ein Befehl ausführen – der Angreifer bringt also fremden Code zur Ausführung, allein durch das präparierte Eingabe-XML, ohne weitere Voraussetzungen. Betroffen sind Anwendungen, die XStream zum Einlesen nicht vertrauenswürdiger Daten nutzen; da die Bibliothek in viele Produkte eingebettet ist, reicht die Wirkung über XStream selbst hinaus und kann auch darauf aufbauende Software treffen. Nicht betroffen ist, wer das Sicherheitsframework von XStream mit einer Positivliste eingerichtet hat, die nur die wirklich benötigten Typen zulässt – der empfohlenen Absicherung, da der frühere Negativlisten-Ansatz für den allgemeinen Einsatz nicht sicher abzudichten ist.