×

RCE-уязвимость обнаружена в библиотеке Apache Commons Text

RCE-уязвимость обнаружена в библиотеке Apache Commons Text

Эксперты сравнивают ошибку Text4Shell с известной уязвимостью Log4Shell.

Аналитик угроз GitHub Альваро Муньос обнаружил уязвимость удаленного выполнения кода CVE-2022-42889 в библиотеке с открытым исходным кодом Apache Commons Text . Эта библиотека ориентирована на алгоритмы, работающие со строками.

Уязвимость, получившая название «Text4Shell», представляет собой проблему оценки скрипта, вызванную системой интерполяции. Злоумышленник может использовать уязвимость, чтобы вызвать выполнение кода при обработке злонамеренного ввода в конфигурации библиотеки по умолчанию.

Заменитель строк StringSubstitutor при использовании с интерполяторами по умолчанию будет выполнять поиск строк, что может привести к выполнению произвольного кода. Apache Commons Text полагается на систему интерполяции для управления строками.

По словам Apache, приложения, использующие интерполяцию по умолчанию, могут быть уязвимы для удаленного выполнения кода или непреднамеренного контакта с удаленными серверами, если используются ненадежные значения конфигурации.

Уязвимость затрагивает версии от 1.5 по 1.9. Проблема устранена с выпуском Apache Commons Text 1.10.0, который по умолчанию отключает проблемные интерполяторы.

Некоторые эксперты и разработчики сравнивают Text4Shell с Log4Shell (отсюда и схожее название), поскольку это ошибка уровня открытой библиотеки, которая может повлиять на широкий спектр программных приложений, использующих соответствующий объект.

Команда безопасности Apache подтвердила, что проблема отличается от Log4Shell, поскольку в Log4Shell была возможна интерполяция строк из тела сообщения журнала, которое обычно содержит ненадежные входные данные. В Text4Shell соответствующий метод предназначен для выполнения интерполяции строк, поэтому гораздо меньше вероятность того, что приложения непреднамеренно передают ненадежный ввод без надлежащей проверки.

Кибератака на базу данных студентов Индии приведет к массовым взломам индусов

Утечка данных студентов вынуждает повысить кибербезопасность страны.

Новая кампания социальной инженерии отбирает номера у мобильных операторов

Хакеры атакуют телекоммуникационные компании, чтобы завладеть чужим номером.

В России предложили ввести идентификацию геймеров

По мнению законодателей,  идентификация геймеров, позволит запретить несовершеннолетним играть в жестокие игры.