資安通報: Apache Commons Text 1.5~1.9版 發布新的高風險RCE類型弱點(CVE-2022-42889)
針對「Apache Commons Text CVE-2022-42889 」編號風險,叡揚資訊資安事業處將提供您開發時之防禦手法,以及Mend(WhiteSource) 與 Checkmarx之軟體風險說明。
本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
處理方式
在過往的版本中,所有的 DefaultStringLookup 實例都是預設開啟的。
不過在最新版本的StringLookupFactory.createDefaultStringLookups(),
已調整 DefaultStringLookup.DNS、DefaultStringLookup.URL
2. 因此如果無法進行升級,可以使用上述的配置來初始化 StringSubstitutor。但如果應用程式需要使用此部分功能,則建議針對所有的使用者輸入進行白名單驗證,確保在使用 Variable Interpolation 之前進行消毒。
Checkmarx 應用程式以及相關的 Checkmarx plugin 中均未使用到 Apache Commons Text ,您可以安心使用。
以下為原廠回應:
但因為 Apache Commons Text 中包含針對字串進行編碼的函式庫( StringEscapeUtils (Apache Commons Text 1.10.0 API) ),如果有使用此函示庫來進行 XSS 的修補,請務必確認使用的版本,避免此 CVE 漏洞對系統可能造成的危害。
此漏洞對於 Mend 的影響
Mend 同樣並未使用到 Apache Commons Text。使用 Mend 能夠協助企業盤點並確保所有開發的應用程式中,是否有使用到 Apache Commons Text 以及使用的版本;並在使用的套件有漏洞時,第一時間寄送告警讓各部門能夠有充裕的時間確定問題並處理方式。
相關文章
叡揚資訊資安團隊近日榮獲全球應用程式安全測試(AST)領導者 Checkmarx 頒發「卓越客戶維護」獎項,肯定該公司在應用程式安全(AppSec)領域的長期耕耘與卓越表現。
2025/03/17
近期最駭人聽聞的資安新聞,莫過於 polyfill.io 供應鏈攻擊,影響超過 10 萬個網站而被撻伐,一度再度傳出他們使用新的網域 polyfill[.]com 提供類似服務,而有可能再度發動類似攻擊。Polyfill[.]io 是一個可以自動提供前端 polyfill 的服務,使用方法相當方便,只需要選擇想被 polyfill 的功能,直接引用 JavaScript 的檔案即可。如果要講得更精確一點的話,有一個叫做 polyfill-service 的開源專案,提供 CDN 服務,只需引用其程式碼即可達成需求。
2024/08/07
近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08
叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01