Universität Stuttgart

Kritische Schwachstelle in Commons Text (CVE-2022-42889)

Auf dieser Seite informiert das RUS-CERT über eine kritische Schwachstelle in Apache Commons Text.

Beschreibung der Schwachstelle

Commons Text ist eine häufig eingesetzte Bibliothek des Apache-Projekts für Java-Anwendungen, die zur Verarbeitung von Zeichenketten dient.

Die Versionen 1.5 bis 1.9 sind von der Schwachstelle CVE-2022-42889 (teils auch „Text4Shell“ genannt) betroffen, welche unter bestimmten Bedingungen einem entfernten Angreifer die Ausführung von beliebigem Code (Remote Code Execution, RCE) erlaubt. Weiterhin kann es einem Angreifer möglich sein, von einem angreifbaren System ausgehende Verbindungen zu anderen Systemen auszulösen.

Ein Update von Commons Text auf Version 1.10 behebt die Schwachstelle, da die betreffenden Features ab dieser Version standardmäßig ausgeschaltet sind.

Bewertung

Die Schwachstelle wird von NIST/NVD mit einem sehr hohen CVSS-Score von 9.8 bewertet.

Gegenmaßnahmen und Empfehlungen

Bitte prüfen Sie bzw. lassen Sie von Zulieferern prüfen, welche Systeme in Ihrem Zuständigkeitsbereich von der Schwachstelle betroffen sind. Bei betroffenen Systemen sollte so bald wie möglich ein Update durchgeführt werden.

Scan-Werkzeuge

Update 19.10.2022, 10:00: Die in diesem Abschnitt beschriebenen Scan-Werkzeuge wurden veröffentlicht.

Zur Untersuchung, ob eine Anwendung verwundbar ist, exstieren die folgenden Werkzeuge:

Weitere Informationen

Update 19.10.2022, 10:00: Die Autoren von Commons Text haben unter https://commons.apache.org/proper/commons-text/security.html ein Advisory mit detaillierten Informationen veröffentlicht.


Versionshistorie