开源 Apache Commons Text 库中的远程代码执行缺陷让一些人担心它可能会变成下一个 Log4Shell。然而,大多数网络安全研究人员表示,这远没有那么令人担忧。
Apache Commons Text 是一个流行的开源 Java 库,具有“插值系统”,允许开发人员根据输入的字符串查找修改、解码、生成和转义字符串。
例如,将字符串查找传递${base64Decoder:SGVsbG9Xb3JsZCE=}给插值系统会导致库将其转换为其 base64 解码值“HelloWorld!”。
Apache Commons Text 中的新 CVE-2022-42889 漏洞被称为“Text4Shell”,是由插值系统的不安全脚本评估引起的,在库的默认配置中处理恶意输入时可能触发代码执行。
“从 1.5 版开始到 1.9 版,默认的 Lookup 实例集包括可能导致任意代码执行或与远程服务器联系的插值器,” Apache 邮件列表中的一位开发人员详细说明。
“如果使用不受信任的配置值,在受影响版本中使用插值默认值的应用程序可能容易受到 RCE 或与远程服务器的无意接触。”
“建议用户升级到 Apache Commons Text 1.10.0,默认情况下禁用有问题的插值器。”
该问题由 GitHub 的威胁分析师 Alvaro Munoz发现, 并于 2022 年 3 月 9 日向 Apache 报告。
然而,开源库开发人员花了 7 个月的时间,直到 2022 年 10 月 12 日,才在 1.10.0 版本中发布了一个修复,该修复禁用了插值。
你应该担心吗?
由于易受攻击的库的广泛部署,并且由于该漏洞影响的版本可以追溯到 2018 年,一些人最初担心它可能会造成广泛的破坏, 正如我们在Log4Shell 漏洞中看到 的 那样。
然而, Rapid7的一份报告 很快制止了这些担忧,并解释说并非 1.5 和 1.9 之间的所有版本似乎都容易受到攻击,并且其利用潜力与所使用的 JDK 版本有关。
即使使用 JEXL 引擎作为漏洞利用路径的 更新 概念证明 (PoC) 漏洞利用绕过了 JDK 限制,研究人员仍然不太担心。
此外, Apache 的安全团队表示,该漏洞的范围并不像 Log4Shell 那样严重,并解释说字符串插值是一个记录在案的功能。因此,使用该库的应用程序不太可能在未经验证的情况下无意中传递不安全的输入。
尽管 该严重严重性漏洞 在 7 个月内仍未修补并暴露在漏洞利用尝试中,但即使在漏洞利用被释放后,也没有关于在野外滥用的报告。
虽然我们将来可能会看到一些威胁参与者利用 CVE-2022-42889,但它的范围可能会受到限制。
目前,建议所有使用 Apache Commons Text 库的开发人员尽快升级到 1.10 或更高版本以修复该漏洞。
安全研究员 Sean Wright 警告说,一些 Java 项目将所有库类文件保存在一个 jar 中,并且需要独立扫描。
为了帮助查找易受攻击的 Apache Commons Text 库版本,Silent Signal 发布了一个 Burp 插件 ,该插件可以扫描应用程序以查找未针对 CVE-2022-42889 修补的组件。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Apache Commons Text RCE漏洞—保持冷静并修补
