Softver Apache Foundation ponovo pod lupom
Iako trenutno ima ocenu 9,8/10,0, najnoviji CVE-2022-42889 nije tako daleko od zloglasnog CVE-2021-44228, zvanog Log4Shell. Ovaj put CVE-2022-42889 utiče na Apache Commons Text biblioteku. Deo projekta Apache Commons, koji se fokusira na sve aspekte Java komponenti za višekratnu upotrebu, Text komponenta
vrši interpolaciju varijabli, omogućavajući da se svojstva dinamički procenjuju i proširuju unutar stringova.
Više detalja o ranjivosti potražite ovde. Biblioteka sadrži neke karakteristike interpolacije koje mogu omogućiti napadačima da prođu i izvrše proizvoljan kod. Na sreću, ovog puta organizacije imaju više sreće nego s bibliotekom Log4j: nije bio potreban nikakav poseban kod za izvršenje eksploatacije, što znači da napadači mogu odmah pokrenuti skalabilne napade s vrlo generičkim kodom protiv svih servera povezanih s mrežom i internetom, a koji koriste ovu biblioteku.
U trenutnom slučaju, napadač bi morao da istraži svaku pojedinačnu aplikaciju koristeći tekstualne biblioteke i da pronađe onu koja će proslediti neočišćene vrednosti koje je dostavio korisnik. Za to je potrebno više vremena i truda i stoga je zaključak: ranjivost nije toliko ozbiljna.
Pored toga, dokazi o eksploataciji (eng. Proof-of-concept) već postoje, jer je prilično lako reprodukovati uslove koji izazivaju ranjivost.
Štaviše, Apache Commons biblioteke se široko koriste u različitim Java aplikacijama, što znači da će organizacije pronaći mnoge verzije ranjive biblioteke na pojedinačnim serverima, pa čak i na klijentskim mašinama. Dakle, potrebno je ozbiljnije pretraživanje kako bi se identifikovali ranjivi slučajevi koji vrebaju unutar organizacije.
Najnovija ranjivost je samo jedna u nizu koja utiče na softver Apache Foundation: pored Log4Shell-a, u julu 2022. otkriveno je da još jedna komponenta Apache Commonsa, pod nazivom Configurator (koja pojednostavljuje upravljanje svojstvima konfiguracije aplikacije), i ima slične opasnosti od interpolacije tekstualnih nizova.
Softverske komponente otvorenog koda Apache Foundation-a su toliko široko korišćene da će svaka buduća otkrivena ranjivost imati dalekosežne posledice.