mercredi, 29 mai 2024

La faille Apache Commons Text n’est pas une répétition de Log4Shell (CVE-2022-42889)

Une vulnérabilité récemment réparée (CVE-2022-42889) dans la bibliothèque Apache Commons Text a retenu l’attention des scientifiques de la sécurité ces derniers jours, craignant qu’elle ne conduise à une répétition de l’incendie de la benne Log4Shell.

Le dernier verdict révèle qu’il n’y a pas lieu de paniquer : bien que la vulnérabilité soit exploitable (et qu’il existe actuellement des exploits de preuve de concept en ligne), « La nature de la vulnérabilité signifie que contrairement à Log4Shell, il sera rare qu’une application utilise l’élément sensible de Commons Text pour traiter des entrées non fiables et potentiellement malveillantes », déclare Erick Galinkin, chercheur en IA de Rapid7.

Je suis totalement d’accord sur ce point, idéalement, le thread le démontre.

Je dirais que ce qu’il montre, c’est que les problèmes généraux derrière #Log 4Shell ne sont pas résolus. Les organisations ont eu de la chance avec celui-ci, et nous comptons sur les individus pour trouver et divulguer des bogues potentiellement importants à l’avenir. https://t.co/Mx1X27OVpA

— Kevin Beaumont (@GossiTheDog) 18 octobre 2022

À propos de CVE-2022 -42889

CVE-2022-42889, découverte et signalée par le scientifique en sécurité Alvaro Muñoz, est une vulnérabilité dans la populaire bibliothèque Apache Commons Text, qui se concentre sur les algorithmes travaillant sur des chaînes.

« Apache Commons Text effectue une interpolation variable, permettant d’évaluer et d’élargir dynamiquement les propriétés résidentielles ou commerciales. Le format de base de l’interpolation est « $ », où « préfixe » est utilisé pour trouver une instance de org.apache.commons.text. lookup.StringLookup qui effectue l’interpolation », il a en fait été décrit.

« En commençant par la variante 1.5 et en continuant jusqu’à 1.9, l’ensemble des circonstances de recherche par défaut consistait en des interpolateurs qui pouvaient entraîner l’exécution de code arbitraire ou le contact avec des serveurs distants. Ces recherches sont :– « script »– exécuter des expressions à l’aide du moteur d’exécution de script JVM (javax.script)– « dn s »– résoudre les enregistrements DNS– « url »– charger des valeurs à partir d’urls, y compris à partir de serveurs distants. »

Les agresseurs peuvent envoyer des charges utiles spécialement conçues en utilisant ces recherches vers des applications basées sur Java avec des variations de la bibliothèque et atteindre l’exécution de code à distance.

« Les organisations qui dépendent directement d’Apache Commons Text doivent effectuer une mise à niveau vers la version réparée (1.10.0) », a conseillé Galinkin.

« Comme pour de nombreuses vulnérabilités de bibliothèque, nous verrons la suite typique des avis de suivi des fournisseurs avec des mises à niveau pour les produits qui regroupent les implémentations vulnérables de la bibliothèque. Nous vous suggérons de configurer ces points au fur et à mesure qu’ils apparaissent et hiérarchisent tous ceux où le fournisseur montre que leur mise en œuvre peut être exploitable à distance. »

Des PoC et un outil de détection, mais pas d’exploitation dans la nature

Une variété d’exploits PoC ont été publiés pour CVE-2022-42889, qui a été officieusement surnommé « Act4Shell  » et « Text4Shell ».

Les chercheurs de JFrog ont également publié un outil que les concepteurs peuvent utiliser pour vérifier si leurs applications incluent une version vulnérable de la bibliothèque ou des fonctions vulnérables.

« Le Log4J est une bibliothèque Java largement utilisée et tout serveur Web exécutant la version sensible aurait pu être facilement exploité alors que la bibliothèque Common Text n’est pas aussi répandue », déclare Christopher Budd, superviseur principal, Sophos Danger Research Study.

« De plus, Log4J peut être exploité avec du code générique alors que cette toute nouvelle vulnérabilité nécessite très probablement un code spécifique et ciblé. La plupart des applications ne transmettront pas les valeurs fournies par l’utilisateur non nettoyées aux fonctions vulnérables de la bibliothèque, minimisant ou annulant les dangers d’exploitation. Sophos X-Ops ne voit pas actuellement Les attaques utilisant CVE-2022-42889 dans la nature continueront cependant à être suivies. »

Le scientifique de Sophos, Paul Ducklin, a des suggestions supplémentaires pour les concepteurs.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline