Kriittinen haavoittuvuus Apache Commons Text -komponentissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Apache Commons Text -komponentissa

18. lokakuuta 2022 klo 11.13, päivitetty 19. lokakuuta 2022 klo 9.17

Apache Commons Text -komponentissa oleva haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen etänä.

Dynaamiseen muuttujien käsittelyyn liittyvä haavoittuvuus (CVE-2022-42889) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Haavoittuvuuteen on olemassa haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi.

Apache Commons on julkaissut haavoittuvuuteen päivityksen. 

Haavoittuvuus koskee erityisesti organisaatioita ja toimia vaaditaan palvelinten ylläpitäjiltä. Haavoittuvuuden kautta hyökkääjä voi suorittaa haluamaansa koodia Commons text -komponentin avulla.

Haavoittuvuuden kohde

Apache Commons Text

  • versiosta 1.5 alkaen ja aiemmat kuin versio 1.10.0

Mistä on kysymys?

Päivitä Apache Commons Text versioon 1.10.0.

Mitä voin tehdä?

Rapid7 tietoturvayrityksen uutinen (ulkoinen linkki)

Apache Commons Text -kirjaston sivusto. (ulkoinen linkki)

GitHub GHSL-2022-018 (ulkoinen linkki)

Cybersecurity Dive uutinen (ulkoinen linkki)

 

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

19. lokakuuta 2022 klo 9.17 Korjattu haavoittuvien versioiden numerointi, sekä poistettu lisäys Rapid7:n uutisesta liittyen JDK versioihin.