inewood Security Bulletin – Kwetsbaarheid in Apache Commons Text
For English, see below Beschrijving Er is een kwetsbaarheid (CVE-2022-42889) ontdekt in Apache Commons Tekst. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand mogelijk in staat om willekeurig code uit te voeren. De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk voor string interpolatie. Drie typen filters kunnen hier mogelijk misbruikt worden, namelijk “script”, “dns” en “url”. Een Proof-Of-Concept code is gepubliceerd die aantoont hoe de kwetsbare functionaliteit kan worden misbruikt. Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak beperkter vanwege de specifieke toepassing van Commons Text ten opzichte van Log4j. Kwetsbare versies De kwetsbaarheid is aanwezig in de versies 1.5 t/m 1.9. Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet te misbruiken is wanneer de applicatie gebruikt maakt van (Open)JDK versie 15 of nieuwer. Echter, het NCSC heeft dit nog niet zelf kunnen bevestigen. Oplossing en workarounds De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Commons Tekst 1.10.0. Meer informatie https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/ Vragen Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl. =====ENGLISH VERSION======== Description A vulnerability (CVE-2022-42889) has been discovered in Apache Commons Text. The vulnerability potentially allows an unauthenticated malicious person to perform Remote Code Execution. The vulnerability is in the functionality responsible for string interpolation. Three types of filters could potentially be abused here: “script”, “dns” and “url”. A Proof-Of-Concept code has been published that shows how the vulnerable functionality can be exploited. Although the vulnerability has similarities to a similar vulnerability in Apache Log4j (Log4Shell), the attack surface is more limited due to the specific application of Commons Text compared to Log4j. Vulnerable versions The vulnerability is present in versions 1.5 to 1.9. Also, security researchers indicate that the vulnerability cannot be exploited when the application uses (Open)JDK version 15 or newer. However, the NCSC has not yet been able to confirm this. Solutions and workarounds The Apache Foundation has released updates to fix the vulnerability in Commons Text 1.10.0. Extra info https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/ Questions For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl. |