ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

Apache Commons Text kwetsbaarheid

Door 27 oktober 2022 CERT, SOC, Kwetsbaarheid
Apache

Deze liveblog bevat informatie over de Apache Commons Text kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 oktober 2022.

Update 27 oktober 2022

15:30 | Hieronder vindt u een overzicht van de impact van CVE-2022-42889 op ons productportfolio. Geen van onze producten wordt getroffen door deze kwetsbaarheid. Voor de producten die we gebruiken voor onze managed services is tot op heden geen impact gemeld. Deze producten zijn niet opgenomen in het overzicht.

Vendor Product Status
Compumatica CompuMail Gateway Niet kwetsbaar
Compumatica CryptoGuard Niet kwetsbaar
Compumatica MagiCtwin Niet kwetsbaar
Compumatica Security Management Station Niet kwetsbaar
Compumatica CompuCrypt XL Niet kwetsbaar
Tesorion Immunity Niet kwetsbaar

Update 18 oktober 2022

16:00 | Op 13 oktober 2022 is een kwetsbaarheid in de Apache Commons Text library aangekondigd op de Apache dev list. Kwetsbaarheid CVE-2022-42889, die ook “Text4Shell” wordt genoemd, stelt een aanvaller in staat om code te downloaden of code uit te voeren binnen de context van de applicatie, op basis van door de aanvaller gecontroleerde invoer.

De kwetsbaarheid vertoont overeenkomsten met Apache Log4j (Log4Shell). Het verschil is dat het aanvalsoppervlak van CVE-2022-42889 beperkter is vanwege het specifieke gebruik van de Apache Commons Text library.

Momenteel is er nog weinig informatie beschikbaar over deze kwetsbaarheid. Deze blog wordt bijgewerkt zodra er meer informatie beschikbaar komt. Indien dit van toepassing is geven we een overzicht met de impact van CVE-2022-42889 op ons productportfolio.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 13 oktober 2022 is een kwetsbaarheid in de Apache Commons Text library aangekondigd op de Apache dev list. Kwetsbaarheid CVE-2022-42889, die ook “Text4Shell” wordt genoemd, stelt een aanvaller in staat om code te downloaden of code uit te voeren binnen de context van de applicatie, op basis van door de aanvaller gecontroleerde invoer.

Mogelijke risico’s

Kwetsbaarheid CVE-2022-42889 stelt een aanvaller in staat om code te downloaden of code uit te voeren binnen de context van de applicatie, op basis van door de aanvaller gecontroleerde invoer. Er zijn meerdere voorbeelden gepubliceerd van code die laten zien hoe de kwetsbare functie kan worden misbruikt. De publicatie hiervan vergroot de kans op uitbuiting.

 De kwetsbaarheid vertoont overeenkomsten met Apache Log4j (Log4Shell). Het verschil is dat het aanvalsoppervlak van CVE-2022-42889 beperkter is vanwege het specifieke gebruik van de Apache Commons Text library.

Detail informatie

Apache Commons Text versies 1.5 tot en met 1.9 zijn kwetsbaar voor CVE-2022-42889. De kwetsbaarheid zit in het StringSubstitutor-interpolatorobject. Het gebruik van de “script”, “dns” of “url” lookups zou een aanvaller in staat stellen willekeurige scripts uit te voeren wanneer de invoer van de aanvaller door het interpolatorobject gebruikt wordt. Om deze kwetsbaarheid te kunnen misbruiken, moet de aanvaller de invoer van een variabel controleren die door de kwetsbare functie wordt gebruikt. Gezien de aard van de functie is dit niet erg waarschijnlijk.

Naast de Apache Commons Text library zijn de JDK-versies van belang voor het uitbuiten van CVE-2022-42889. Rapid7 testte hun proof-of-concept exploit op verschillende JDK-versies, en de volgende versies zijn kwetsbaar gebleken:

  • JDK-versie 1.8.0_341
  • JDK-versie 9.0.4
  • JDK-versie 10.0.2
  • JDK-versie 11.0.16.1
  • JDK-versie 12.0.2
  • JDK-versie 13.0.2
  • JDK-versie 14.0.2

Apache heeft een update beschikbaar gesteld die de kwetsbaarheid verhelpt. Het advies is om de betreffende patch te installeren en te upgraden naar Apache Commons text 1.10.0. Verder is het advies om alle producten te updaten waarvan de leverancier aangeeft dat hun product kwetsbaar is.

Call-to-Action

Apache heeft een update beschikbaar gesteld die de kwetsbaarheid verhelpt. Het advies is om de betreffende patch te installeren en te upgraden naar Apache Commons text 1.10.0. Verder is het advies om alle producten te updaten waarbij de leverancier aangeeft dat hun product kwetsbaar is.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu