Github 旗下的資安專家,日前發現廣為使用的開源程式庫 Apache Commons Text,內含一個可讓駭侵者用來發動攻擊,進而遠端執行任意程式碼的漏洞;採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。
Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫,內含「文字改寫系統」(interpolation system);開發者可以利用這個系統對輸入的文字進行多種操作,包括修改、解碼、生成、抽取等等。
該漏洞又被稱為「Text4Shell」,其 CVE 編號為 CVE-2022-42889,是存於文字改寫系統中的不安全程式碼評估處理;在預設組態情況下,駭侵者可以輸入特製的惡意內容,來觸發此漏洞,進而遠端執行任意程式碼。
CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級達到最高等級的「嚴重」(Critical)等級。
資安專家在 Apache 的郵件群組內指出,自 Apache Commons Text 1.5 版起到 1.9 版之間,在預設的 Lookup instance 組態下,存有這個可導致遠端執行任意程式碼,或與遠端伺服器連線的漏洞;用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本,該版本已預設停用有問題的文字改寫系統。
該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現,並提報給此開源程式庫的開發單位 Apache Foundation;Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。
建議軟體開發者如有採用上述受影響版本的 Apache Commons Text,應立即升級至已修復此漏洞的 1.10.0 與後續版本。
- CVE編號:CVE-2022-42889
- 影響產品(版本):Apache Commons Text 1.5 到9 版。
- 解決方案:升級至 Apache Commons Text 1.10.0 版與後續版本。
相關連結
- https://www.twcert.org.tw/tw/cp-104-6632-07b90-1.html
- CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due t
- Apache Commons Text RCE flaw — Keep calm and patch away
- CVE-2022-42889
