Erinnerungen
In der Fehlermeldung zum CVE-Eintrag zählen die Entwickler die Interpolatoren auf, die die Sicherheitslücke aufgerissen haben. Während "script" einen Ausdruck mit der JVM Script Execution Engine (javax.script) ausführt, löst "dns" DNS-Einträge auf und "url" lädt Werte von URLs – einschließlich von entfernten Servern im Internet. Ein
Die Schwachstelle erinnert durch diese Funktionsweise an die log4shell-Lücke vom Ende des vergangenen Jahres. Die Auswirkungen dürften jedoch nicht so weitreichend sein: log4j wurde allgemein für Logging entwickelt und ist daher in vielen Produkten anzutreffen. Apache Commons Text dient hingegen gezielten String-Manipulationen und kommt wahrscheinlich gezielter zum Einsatz.
Sean Wright
Seen a few pointing to the possibility that CVE-2022-42889 may be like Log4j. It’s not. There certain factors that need to be in place in order for that to be the case. Also commons-text is not as widely used as Log4j. No doubt the marketing spin will be starting soon!
Darauf weist etwa auch der IT-Sicherheitsforscher Sean Wright auf Twitter hin. Entwickler müssen selbst die verwundbaren Interpolatoren im Code nutzen. Angreifer müssten also verwundbare Projekte kennen. Das schränkt die Angriffsmöglichkeiten im Vergleich zu log4shell ein, wo Angreifer zudem gewissermaßen den Interpolator selbst mitgeben können.
Die Lücke kam in Version 1.5 von Apache Commons Text hinzu. In der aktuellen Fassung 1.10 haben die Entwickler die Fehler behoben, indem sie die problematischen Interpolatoren deaktiviert haben. Administratoren, die auf ihren Systemen die Komponente nutzen, sollten dringend auf die aktuelle Version aktualisieren.
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
werden bei der jetzt entdeckten Sicherheitslücke in der Zeichenketten-Verarbeitungskomponente Apache Commons Text wach. Angreifer könnten dadurch beliebigen Schadcode aus der Ferne einschleusen. Einige "aber" sorgen jedoch dafür, dass das Problem nicht ganz so weitverbreitet wie bei log4shell ist.Details zur Lücke
Apache Commons Text dient zur Verarbeitung und Manipulation von Zeichenketten. Dabei unterstützt das Modul auch Textbaustein-Ersetzungen und nennt das "Interpolation". Dabei werden Variablen der Art "${prefix:name}" am dem Ort "prefix" in der Instanz org.apache.commons.text.lookup.StringLookup nachgeschlagen. Die Standardeinstellungen enthält Ersetzungen, die in der Ausführung beliebigen Codes oder dem Kontaktieren von Servern im Internet münden können (CVE-2022-42889, CVSS 9.8, Risiko "kritisch").In der Fehlermeldung zum CVE-Eintrag zählen die Entwickler die Interpolatoren auf, die die Sicherheitslücke aufgerissen haben. Während "script" einen Ausdruck mit der JVM Script Execution Engine (javax.script) ausführt, löst "dns" DNS-Einträge auf und "url" lädt Werte von URLs – einschließlich von entfernten Servern im Internet. Ein
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die Schwachstelle erinnert durch diese Funktionsweise an die log4shell-Lücke vom Ende des vergangenen Jahres. Die Auswirkungen dürften jedoch nicht so weitreichend sein: log4j wurde allgemein für Logging entwickelt und ist daher in vielen Produkten anzutreffen. Apache Commons Text dient hingegen gezielten String-Manipulationen und kommt wahrscheinlich gezielter zum Einsatz.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Seen a few pointing to the possibility that CVE-2022-42889 may be like Log4j. It’s not. There certain factors that need to be in place in order for that to be the case. Also commons-text is not as widely used as Log4j. No doubt the marketing spin will be starting soon!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Darauf weist etwa auch der IT-Sicherheitsforscher Sean Wright auf Twitter hin. Entwickler müssen selbst die verwundbaren Interpolatoren im Code nutzen. Angreifer müssten also verwundbare Projekte kennen. Das schränkt die Angriffsmöglichkeiten im Vergleich zu log4shell ein, wo Angreifer zudem gewissermaßen den Interpolator selbst mitgeben können.
Die Lücke kam in Version 1.5 von Apache Commons Text hinzu. In der aktuellen Fassung 1.10 haben die Entwickler die Fehler behoben, indem sie die problematischen Interpolatoren deaktiviert haben. Administratoren, die auf ihren Systemen die Komponente nutzen, sollten dringend auf die aktuelle Version aktualisieren.
Quelle: heise
