Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Apache Commons Text -komponentissa oleva haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen etänä.

Dynaamiseen muuttujien käsittelyyn liittyvä haavoittuvuus (CVE-2022-42889) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Haavoittuvuuteen on olemassa haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi.

Apache Commons on julkaissut haavoittuvuuteen päivityksen. 

Haavoittuvuus koskee erityisesti organisaatioita ja toimia vaaditaan palvelinten ylläpitäjiltä. Haavoittuvuuden kautta hyökkääjä voi suorittaa haluamaansa koodia Commons text -komponentin avulla.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Apache Commons Text

  • versiosta 1.5 alkaen ja aiemmat kuin versio 1.10.0

Mistä on kysymys?

Päivitä Apache Commons Text versioon 1.10.0.

Mitä voin tehdä?

Korjattu haavoittuvien versioiden numerointi, sekä poistettu lisäys Rapid7:n uutisesta liittyen JDK versioihin.