Apache Commons Text kwetsbaarheid
Deze liveblog bevat informatie over de Apache Commons Text kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 oktober 2022.
T-Update
Deze liveblog bevat informatie over de Apache Commons Text kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 oktober 2022.
Update 27 oktober 2022
15:30 | Hieronder vindt u een overzicht van de impact van CVE-2022-42889 op ons productportfolio. Geen van onze producten wordt getroffen door deze kwetsbaarheid. Voor de producten die we gebruiken voor onze managed services is tot op heden geen impact gemeld. Deze producten zijn niet opgenomen in het overzicht.
Achtergrond
Op 13 oktober 2022 is een kwetsbaarheid in de Apache Commons Text library aangekondigd op de Apache dev list. Kwetsbaarheid CVE-2022-42889, die ook “Text4Shell” wordt genoemd, stelt een aanvaller in staat om code te downloaden of code uit te voeren binnen de context van de applicatie, op basis van door de aanvaller gecontroleerde invoer.
Risico
Kwetsbaarheid CVE-2022-42889 stelt een aanvaller in staat om code te downloaden of code uit te voeren binnen de context van de applicatie, op basis van door de aanvaller gecontroleerde invoer. Er zijn meerdere voorbeelden gepubliceerd van code die laten zien hoe de kwetsbare functie kan worden misbruikt. De publicatie hiervan vergroot de kans op uitbuiting.
De kwetsbaarheid vertoont overeenkomsten met Apache Log4j (Log4Shell). Het verschil is dat het aanvalsoppervlak van CVE-2022-42889 beperkter is vanwege het specifieke gebruik van de Apache Commons Text library.
Advies
Apache Commons Text versies 1.5 tot en met 1.9 zijn kwetsbaar voor CVE-2022-42889. De kwetsbaarheid zit in het StringSubstitutor-interpolatorobject. Het gebruik van de “script”, “dns” of “url” lookups zou een aanvaller in staat stellen willekeurige scripts uit te voeren wanneer de invoer van de aanvaller door het interpolatorobject gebruikt wordt. Om deze kwetsbaarheid te kunnen misbruiken, moet de aanvaller de invoer van een variabel controleren die door de kwetsbare functie wordt gebruikt. Gezien de aard van de functie is dit niet erg waarschijnlijk.
Naast de Apache Commons Text library zijn de JDK-versies van belang voor het uitbuiten van CVE-2022-42889. Rapid7 testte hun proof-of-concept exploit op verschillende JDK-versies, en de volgende versies zijn kwetsbaar gebleken:
- JDK-versie 1.8.0_341
- JDK-versie 9.0.4
- JDK-versie 10.0.2
- JDK-versie 11.0.16.1
- JDK-versie 12.0.2
- JDK-versie 13.0.2
- JDK-versie 14.0.2
Apache heeft een update beschikbaar gesteld die de kwetsbaarheid verhelpt. Het advies is om de betreffende patch te installeren en te upgraden naar Apache Commons text 1.10.0. Verder is het advies om alle producten te updaten waarvan de leverancier aangeeft dat hun product kwetsbaar is.
Bronnen
Meer informatie:
- NCSC advisory – https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0650
- Apache dev list – https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
- Apache feature documentatie – https://commons.apache.org/proper/commons-text/apidocs/org/apache/commons/text/lookup/StringLookupFactory.html
- Rapid7 blog – https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
