-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in Apache Commons Text
Advisory ID : NCSC-2022-0650
Versie : 1.00
Kans : high
CVE ID : CVE-2022-42889
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20221018
Toepassing : Apache Software Foundation Commons Text
Versie(s) : 1.5 - 1.9
Platform(s) :
Beschrijving
Er is een kwetsbaarheid verholpen in Apache Commons Text. De
kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand
mogelijk in staat om willekeurige code uit te voeren met de rechten
van de kwetsbare applicatie. Hiertoe dient een kwaadwillende
specifieke tekst te laten verwerken door de kwetsbare applicatie.
De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk
voor string interpolatie. Hierbij is gebleken dat een drietal
filters mogelijk misbruikt kunnen worden. Dit zijn "script", "dns"
en "url". Proof-of-Concept code is gepubliceerd die aantoont hoe de
kwetsbare functionaliteit kan worden misbruikt.
Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke
kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak
beperkter vanwege de specifieke toepassing van Commons Text ten
opzichte van Log4j.
Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet
te misbruiken is wanneer de applicatie gebruik maakt van (Open)JDK
versie 15 of nieuwer. Dit heeft het NCSC nog niet zelf kunnen
bevestigen. Voor meer informatie zie:
https://www.rapid7.com/blog/post/2022/10/17
/cve-2022-42889-keep-calm-and-stop-saying-4shell/
Mogelijke oplossingen
De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid
te verhelpen in Commons Text 1.10.0. Voor meer informatie zie:
https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
Mogelijk dat deze library is opgenomen als onderdeel van diverse
andere libraries en producten. Het NCSC houdt de ontwikkelingen in
de gaten en werkt waar nodig dit beveiligingsadvies bij.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=ds7V
-----END PGP SIGNATURE-----
