1. 修復的CVE信息

• CVE-2021-21350

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來執行任意代碼。

• CVE-2021-21351

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來加載和執行遠程主機上的任意代碼。

• CVE-2021-21349

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞源于WEB應用未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過受影響客戶端向服務器發送非預期的請求。

• CVE-2021-21348

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者可以利用這個漏洞來消耗最大的CPU時間。

• CVE-2021-21347

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者僅通過操作已處理的輸入流，就可以從遠程主機加載和執行任意代碼。

• CVE-2021-21346

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞源于遠程攻擊者僅通過操作已處理的輸入流，就可以從遠程主機加載和執行任意代碼。

• CVE-2021-21345

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來執行主機的命令。

• CVE-2021-21344

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream before version 1.4.16 存在代碼問題漏洞，該漏洞允許遠程攻擊者可利用該漏洞僅通過操作已處理的輸入流，就可以從遠程主機加載和執行任意代碼。

• CVE-2021-21343

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在安全漏洞，攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對象，從而導致本地主機上的文件被刪除。

• CVE-2021-21342

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 存在代碼問題漏洞，攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對象，從而導致服務器端偽造請求。

• CVE-2021-21341

  XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象。XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者根據CPU類型或此類有效負載的并行執行，導致拒絕服務。

2. 受影響的軟件包

• 銀河麒麟桌面操作系統V10 SP1

  libxstream-java

3. 影響的操作系統

銀河麒麟桌面操作系統V10 SP1

4. 修復版本

• 軟件包：libxstream-java

  1.4.11.1-1kylin0.2(V10 SP1)

5. 修復方法

方法一：配置源進行升級安裝

打開軟件包源配置文件，根據倉庫地址進行修改。

4.0.2桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse

4.0.2-sp1桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

4.0.2-sp2桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

4.0.2-sp3桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

4.0.2-sp4桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

10.0版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

10SP1版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse

配置完成后執行更新命令進行升級。$sudo apt update

方法二：下載安裝包進行升級安裝

通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的組件包列表 升級相關的組件包。$dpkg -i Packagelists

6. 軟件包下載地址

• 銀河麒麟桌面操作系統V10 SP1

  X86下載地址：http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/libx/libxstream-java/libxstream-java_1.4.11.1-1kylin0.2_all.deb