Text4Shell,Apache Commons Text 库中的远程代码执行错误

Text4Shell,Apache Commons Text 库中的远程代码执行错误

研究人员在开源 Apache Commons Text 库中发现了一个远程代码执行漏洞。

GitHub 的威胁分析师 Alvaro Munoz 在开源 Apache Commons Text 库中发现了一个远程代码执行漏洞,被跟踪为 CVE-2022-42889。 Apache Commons Text 是一个专注于字符串算法的库。

该漏洞被称为“Text4Shell”,是由插值系统引起的不安全脚本评估问题。 在库的默认配置中处理恶意输入时,攻击者可以利用该漏洞触发代码执行。

“当与默认插值器 (StringSubstitutor.createInterpolator()) 一起使用时,StringSubstitutor 将执行可能导致任意代码执行的字符串查找。” 阅读 Munoz 发布的帖子。 “特别是,如果不受信任的数据流入 StringSubstitutor.replace() 或 StringSubstitutor.replaceIn() 方法,攻击者将能够使用 ScriptStringLookup 来触发任意代码执行。”

Apache Commons Text 依赖于插值系统来操作字符串。

开发人员 Gary D. Gregory 报告说,从 1.5 版开始,一直到 1.9 版,默认 Lookup 实例集包括可能导致任意代码执行或与远程服务器联系的插值器。

“这些查找是: – “script” – 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 – “dns” – 解析 dns 记录 – “url” – 从 url 加载值,包括来自远程服务器的应用程序使用插值默认值如果使用不受信任的配置值,受影响的版本中可能容易受到远程代码执行或与远程服务器的无意接触的影响。” 在 Apache 邮件列表中写了开发人员。

该问题已通过 Apache Commons Text 1.10.0 的发布得到解决,该版本默认禁用有问题的插值器。

一些专家将 Log4Shell 进行比较,因为它是一个开源库级漏洞,可能会影响使用相关对象的各种软件应用程序。 然而,初步分析表明这是一个糟糕的比较。 该漏洞的性质意味着,与 Log4Shell 不同,应用程序很少使用 Commons Text 的易受攻击的组件来处理不受信任的、潜在的恶意输入。

由于该漏洞对使用该库的大量应用程序具有潜在影响,因此已将该漏洞与 Text4Shell 与 Log4Shell 进行了比较。 然而,Rapid7 研究人员淡化了该缺陷在野外的影响。

“该漏洞已与 Log4Shell 进行了比较,因为它是一个开源库级漏洞,可能会影响使用相关对象的各种软件应用程序。 然而,初步分析表明,这是一个糟糕的比较。” 阅读 Rapid7 发布的帖子。 “该漏洞的性质意味着,与 Log4Shell 不同,应用程序很少使用 Commons Text 的易受攻击组件来处理不受信任的、潜在的恶意输入。”

Apache 的安全团队也证实该问题与 Log4Shell 无法比较。

“这个问题与 Log4Shell (CVE-2021-44228) 不同,因为在 Log4Shell 中,可以从日志消息正文中进行字符串插值,该正文通常包含不受信任的输入。 在 Apache Common Text 问题中,相关方法明确用于执行字符串插值,并有明确记录,因此应用程序不太可能在没有适当验证的情况下无意中传递不受信任的输入。” 写了安全团队。

在推特上关注我: @securityaffairsFacebook

皮耶路易吉·帕格尼尼

(安全事务 黑客,Text4Shell)





#Text4ShellApache #Commons #Text #库中的远程代码执行错误

Leave a Reply

Your email address will not be published. Required fields are marked *

Previous post 威尔士的世界杯等待仍在继续,因为库克群岛的复出拒绝了他们
The most detailed and updated map of the Moon Next post 中国绘制了有史以来最详细的月球地图