迪普安全研究院
让网络更简单·智能·安全
背景描述
Apache Commons Text是一个专注于处理字符串的算法的开源项目,它包含一组用于在Java环境中使用的处理文本的函数与可重用组件。
近日,迪普安全研究院团队监测到Apache发布的安全公告中修复了一个漏洞:Apache Commons Text任意代码执行漏洞(CVE-2022-42889)。攻击者可以利用该漏洞在目标服务器上造成远程代码执行的攻击效果。由于此漏洞的POC已公开,迪普科技提醒相关用户尽快排查漏洞情况,及时更新至最新版本,以降低安全风险。
严重等级
高
危
漏洞描述
Apache Commons Text库可以执行字符串变量插值,允许对属性进行动态解析和扩展,插值的标准格式为“${prefix:name}”,其中prefix用来定位org.apache.commons.text.lookup.StringLookup的实例,由该实例实现具体的插值。在受影响版本Commons Text库中,默认的Lookup实例集合包括了可能导致任意代码执行的“script”实例、进行DNS查询的“dns”实例和进行URL资源加载的“url”实例,通过可控的prefix值,攻击者成功利用该漏洞可以进行任意代码执行攻击或者进行dnslog漏洞探测。
漏洞CVE-2022-42889复现截图:
影响范围
1.5≤Apache Commons Text≤1.9
解决方案
1 官方解决方案
官方已发布安全版本,请及时下载更新,下载地址:
https://commons.apache.org/proper/commons-text/download_text.cgi
1 迪普科技解决方案
迪普科技安全研究院在监测到Apache Commons Text任意代码执行漏洞后,迅速采取了应急措施。
1)使用迪普“态势感知平台”检测现网环境中是否存在Apache Commons Text任意代码执行漏洞攻击行为。
◆态势感知特征库版本:2022100201
2)迪普科技安全服务团队可协助客户完成现网安全风险评估,针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议。
3)DPtech IPS2000、FW1000将在以下特征库版本中对Apache Commons Text任意代码执行漏洞进行有效防护:
◆产品系列:IPS2000,FW1000
◆漏洞库版本:IPS-R3.1.273
4)DPtech WAF3000将在以下特征库版本中对Apache Commons Text任意代码执行漏洞进行有效防护:
◆产品系列:WAF3000
◆特征库版本:WAF-R3.1.150,WAF-R2.1.150
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。
原文始发于微信公众号(迪普科技):【漏洞风险通告】Apache Commons Text任意代码执行漏洞(CVE-2022-42889)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论