Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

inewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

 For English, see below

Beschrijving

Er is een kwetsbaarheid (CVE-2022-42889) ontdekt in Apache Commons Tekst. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand mogelijk in staat om willekeurig code uit te voeren.

De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk voor string interpolatie. Drie typen filters kunnen hier mogelijk misbruikt worden, namelijk “script”, “dns” en “url”. Een Proof-Of-Concept code is gepubliceerd die aantoont hoe de kwetsbare functionaliteit kan worden misbruikt.

Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak beperkter vanwege de specifieke toepassing van Commons Text ten opzichte van Log4j.

 Kwetsbare versies

 De kwetsbaarheid is aanwezig in de versies 1.5 t/m 1.9.

Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet te misbruiken is wanneer de applicatie gebruikt maakt van (Open)JDK versie 15 of nieuwer. Echter, het NCSC heeft dit nog niet zelf kunnen bevestigen.

Oplossing en workarounds

 De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Commons Tekst 1.10.0.

Meer informatie

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

A vulnerability (CVE-2022-42889) has been discovered in Apache Commons Text. The vulnerability potentially allows an unauthenticated malicious person to perform Remote Code Execution.

The vulnerability is in the functionality responsible for string interpolation. Three types of filters could potentially be abused here: “script”, “dns” and “url”. A Proof-Of-Concept code has been published that shows how the vulnerable functionality can be exploited.

Although the vulnerability has similarities to a similar vulnerability in Apache Log4j (Log4Shell), the attack surface is more limited due to the specific application of Commons Text compared to Log4j.

 Vulnerable versions

 The vulnerability is present in versions 1.5 to 1.9.

Also, security researchers indicate that the vulnerability cannot be exploited when the application uses (Open)JDK version 15 or newer. However, the NCSC has not yet been able to confirm this.

 Solutions and workarounds

The Apache Foundation has released updates to fix the vulnerability in Commons Text 1.10.0.

Extra info

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl