Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Kritische Sicherheitslücke in Apache Commons Text

Erinnerungen an die log4j-Schwachstelle werden bei der jetzt entdeckten Sicherheitslücke in der Zeichenketten-Verarbeitungskomponente Apache Commons Text wach. Angreifer könnten dadurch beliebigen Schadcode aus der Ferne einschleusen. Einige "aber" sorgen jedoch dafür, dass das Problem nicht ganz so weitverbreitet wie bei log4shell ist.

Details zur Lücke​

Apache Commons Text dient zur Verarbeitung und Manipulation von Zeichenketten. Dabei unterstützt das Modul auch Textbaustein-Ersetzungen und nennt das "Interpolation". Dabei werden Variablen der Art "${prefix:name}" am dem Ort "prefix" in der Instanz org.apache.commons.text.lookup.StringLookup nachgeschlagen. Die Standardeinstellungen enthält Ersetzungen, die in der Ausführung beliebigen Codes oder dem Kontaktieren von Servern im Internet münden können (CVE-2022-42889, CVSS 9.8, Risiko "kritisch").

In der Fehlermeldung zum CVE-Eintrag zählen die Entwickler die Interpolatoren auf, die die Sicherheitslücke aufgerissen haben. Während "script" einen Ausdruck mit der JVM Script Execution Engine (javax.script) ausführt, löst "dns" DNS-Einträge auf und "url" lädt Werte von URLs – einschließlich von entfernten Servern im Internet. Ein Beispiel erläutert das GitHub Security Lab.
Die Schwachstelle erinnert durch diese Funktionsweise an die log4shell-Lücke vom Ende des vergangenen Jahres. Die Auswirkungen dürften jedoch nicht so weitreichend sein: log4j wurde allgemein für Logging entwickelt und ist daher in vielen Produkten anzutreffen. Apache Commons Text dient hingegen gezielten String-Manipulationen und kommt wahrscheinlich gezielter zum Einsatz.



Du musst angemeldet sein, um Bilder zu sehen.
Sean Wright@SeanWrightSec
Seen a few pointing to the possibility that CVE-2022-42889 may be like Log4j. It’s not. There certain factors that need to be in place in order for that to be the case. Also commons-text is not as widely used as Log4j. No doubt the marketing spin will be starting soon!

17.10.2022, 21:02:16 via Twitter powered by


Darauf weist etwa auch der IT-Sicherheitsforscher Sean Wright auf Twitter hin. Entwickler müssen selbst die verwundbaren Interpolatoren im Code nutzen. Angreifer müssten also verwundbare Projekte kennen. Das schränkt die Angriffsmöglichkeiten im Vergleich zu log4shell ein, wo Angreifer zudem gewissermaßen den Interpolator selbst mitgeben können.

Die Lücke kam in Version 1.5 von Apache Commons Text hinzu. In der aktuellen Fassung 1.10 haben die Entwickler die Fehler behoben, indem sie die problematischen Interpolatoren deaktiviert haben. Administratoren, die auf ihren Systemen die Komponente nutzen, sollten dringend auf die aktuelle Version aktualisieren.
Quelle: heise
 
Zurück
Oben