Restlet对象反序列化漏洞

文章由LinuxBoy分享于2019-04-02 03:04:06热评（489）

Restlet对象反序列化漏洞

发布日期：2013-08-26
更新日期：2013-08-28

受影响系统：
Restlet Restlet 2.x
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4221

Restlet是Java的web API框架。

Restlet 2.1.2版本用XMLDecoder类反序列化用户控制的XML数据和二进制数据，这可使远程攻击者通过提交特制的XML数据或二进制数据，利用此漏洞执行任意Java代码，或调用Java对象上的任意反序列化方法。

<*来源：Dinis Cruz
Abraham Kang
Alvaro Munoz

链接：http://secunia.com/advisories/53677/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Restlet
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://restlet.org/
http://restlet.org/learn/2.1/changes
https://github.com/restlet/restlet-framework-java/issues/774
https://github.com/restlet/restlet-framework-java/issues/778

推荐文章：

Restlet对象反序列化漏洞