Versie 1.3
Datum: gepubliceerd laatste update
Classificatie TLP:WHITE
In Apache commons text, een java library voor bewerkingen aan tekst is een kwetsbaarheid ontdekt die kan leiden tot remote code execution.
Deze kwetsbaarheid lijkt sterk op de eerder ontdekte kwetsbaarheid in Apache log4j. Toch is de impact een stuk minder omdat op dit moment het beeld is dat deze library minder in gebruik is en ook niet direct zal werken met input van buiten.
De kwetsbaarheid heeft als CVE CVE-2022-42889.
Apache Software Foundation heeft gepubliceerd onder welke omstandigheden een applicatie die van deze library gebruik maakt kwetsbaar zou kunnen zijn in https://blogs.apache.org/security/entry/cve-2022-42889
Op dit moment is het advies om bij java applicaties te controleren of deze gebruik maken van Apache commons text. Een van de simpelste manieren is het voorkomen van een bestand met een naam
commons-text-1.5.jar
commons-text-1.6.jar
commons-text-1.7.jar
commons-text-1.8.jar
commons-text-1.9.jar
Bij eigen ontwikkelde applicaties moet Apache Commons Text bijgewerkt worden naar versie 1.10. Bij een vendor applicatie moet er contact gezocht worden met de vendor.
Redhat heeft een lijstje van getroffen applicaties gepubliceerd https://access.redhat.com/security/cve/cve-2022-42889
Eerder deed de informatie de ronde dat applicaties op die op JDK >= 15 geheel niet getroffen zouden zijn, maar dit is inmiddels ontkracht: de gebruikte JDK-versie heeft geen invloed op of een applicatie kwetsbaar is.
https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0650 NCSC advies "Kwetsbaarheid verholpen in Apache Commons Text"
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889 CVE 2022-42889
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/ CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
https://blogs.apache.org/security/entry/cve-2022-42889 Uitleg Apache Foundation onder welke omstandigheden een applicatie kwetsbaar zou kunnen zijn.
Versie | Auteur | Wijzigingen |
---|---|---|
1.0 | Koos van den Hout | Eerste versie |
1.1 | Koos van den Hout | Verbetering tekst nieuwe versie Apache Commons Text |
1.2 | Thijs Kinkhorst | Toegelicht dat informatie over JDK15+ non-vuln niet lijkt te kloppen |
1.3 | Koos van den Hout | Uitleg Apache Foundation toegevoegd |