top of page

Softver Apache Foundation ponovo pod lupom

Iako trenutno ima ocjenu 9,8/10,0, najnoviji CVE-2022-42889 ne izgleda tako daleko od zloglasnog CVE-2021-44228, zvanog Log4Shell. Ovaj put CVE-2022-42889 utiče na Apache Commons Text biblioteku. Deo projekta Apache Commons, koji se fokusira na sve aspekte Java komponenti za višekratnu upotrebu, Text komponenta

vrši interpolaciju varijabli, omogućavajući da se svojstva dinamički procenjuju i proširuju unutar stringova.


Više detalja o ranjivosti potražite ovdje. Biblioteka (eng. library) sadrži neke karakteristike interpolacije koje mogu omogućiti napadačima da prođu i izvrše proizvoljan kod. Srećom, ovog puta organizacije imaju više sreće nego s bibliotekom Log4j: nije bio potreban nikakav specifičan kod za izvršenje eksploatacije, što znači da napadači mogu odmah pokrenuti skalabilne napade s vrlo generičkim kodom protiv svih servera povezanih s mrežom i internetom, a koji koriste ovu biblioteku.


U trenutnom slučaju, napadač bi morao da istraži svaku pojedinačnu aplikaciju koristeći tekstualne biblioteke i da pronađe onu koja će proslediti neočišćene vrednosti koje je dostavio korisnik. Za to je potrebno više vremena i truda i stoga je zaključak: ranjivost nije tako ozbiljna.


Osim toga, dokazi iskorištavanja (eng. Proof-of-concept) već postoje, jer je prilično lako reproducirati uslove koji pokreću ranjivost.

Štaviše, Apache Commons biblioteke se široko koriste u raznim Java aplikacijama, što znači da će organizacije pronaći mnoge verzije ranjive biblioteke na pojedinačnim serverima, pa čak i na klijentskim mašinama. Dakle, potrebno je ozbiljnije pretraživanje kako bi se identifikovali ranjivi slučajevi koji vrebaju unutar organizacije.


Najnovija ranjivost je samo jedna u nizu koja utiče na softver Apache Foundation: pored Log4Shell-a, u julu 2022. otkriveno je da još jedna komponenta Apache Commonsa, pod nazivom Configurator (koja pojednostavljuje upravljanje svojstvima konfiguracije aplikacije), ima slične opasnosti od interpolacije tekstualnih nizova.

Softverske komponente otvorenog koda Apache Foundation-a se toliko koriste da će svaka buduća otkrivena ranjivost imati dalekosežne posljedice.










Commenti


Latest news

bottom of page