Apache Commons’da yeni keşfedilen RCE zafiyetinin Log4Shell zafiyetinin yarattığı etkiyi yapabileceği konusunda endişe ediliyor.
Apache Commons Text, geliştiricilerin girilen string’e dayalı olarak modify, decode, generate ve escape strings gibi işlemleri yapmasına olanak tanıyan Java kitaplığı. Apache Commons Text’deki “Text4Shell” olarak adlandırılan yeni CVE-2022-42889 güvenlik açığı, kitaplığın varsayılan yapılandırmasında RCE’e neden oluyor.
Soruna neden olan ise sürüm 1.5’ten başlayıp 1.9’a kadar devam eden ve Lookup instances’da rastgele kod yürütülmesine veya uzak sunucularla iletişim kurulmasına neden olabilecek enterpolatörleri içermesi.Güvenlik açığı bulunan kitaplığın yaygın olarak dağıtılması nedeniyle ve 2018 yılına kadar uzanan sürümleri etkilediğinden, bazı araştırmacılar Log4Shell güvenlik açığına benzer bir hasara neden olabileceğinden endişe duyuyordu. Ancak Rapid7’den gelen bir rapor, 1.5 ile 1.9 arasındaki tüm sürümlerin zafiyet içermediği ve sömürü potansiyelinin kullanılan JDK sürümüne bağlı olduğunu açıklayarak bu endişelerin önüne geçti. Apache’nin güvenlik ekibi, zafiyetin kapsamının Log4Shell kadar ciddi olmadığını söyleyerek, dize interpolation belgelenmiş bir özellik olduğunu açıkladı. Bu nedenle, kitaplığı kullanan uygulamaların yanlışlıkla güvenli olmayan girdileri doğrulama olmadan geçirmesinin zor olduğunu belirtti. Ancak Apache, kullanıcıların sorunlu enterpolatörleri varsayılan olarak devre dışı bırakan Apache Commons Text 1.10.0’a yükseltmeleri önerdi.
Güvenlik araştırmacısı Sean Wright ise bazı Java projelerinin tüm kitaplık sınıfı dosyalarını tek bir alanda tuttuğu ve bağımsız olarak taranması gerekeceği konusunda uyarıyor.
Kaynak: bleepingcomputer.com