Github 旗下的資安專家,日前發現廣為使用的開源程式庫 Apache Commons Text,內含一個可讓駭侵者用來發動攻擊,進而遠端執行任意程式碼的漏洞;採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。
Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫,內含「文字改寫系統」(interpolation system);開發者可以利用這個系統對輸入的文字進行多種操作,包括修改、解碼、生成、抽取等等。
該漏洞又被稱為「Text4Shell」,其 CVE 編號為 CVE-2022-42889,是存於文字改寫系統中的不安全程式碼評估處理;在預設組態情況下,駭侵者可以輸入特製的惡意內容,來觸發此漏洞,進而遠端執行任意程式碼。
CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級達到最高等級的「嚴重」(Critical)等級。
資安專家在 Apache 的郵件群組內指出,自 Apache Commons Text 1.5 版起到 1.9 版之間,在預設的 Lookup instance 組態下,存有這個可導致遠端執行任意程式碼,或與遠端伺服器連線的漏洞;用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本,該版本已預設停用有問題的文字改寫系統。
該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現,並提報給此開源程式庫的開發單位 Apache Foundation;Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。
建議軟體開發者如有採用上述受影響版本的 Apache Commons Text,應立即升級至已修復此漏洞的 1.10.0 與後續版本。
- CVE編號:CVE-2022-42889
- 影響產品(版本):Apache Commons Text 1.5 到 1.9 版。
- 解決方案:升級至 Apache Commons Text 1.10.0 版與後續版本。
本文轉載自TWCERT/CC。