Auf dieser Seite informiert das RUS-CERT über eine kritische Schwachstelle in Apache Commons Text.
Commons Text ist eine häufig eingesetzte Bibliothek des Apache-Projekts für Java-Anwendungen, die zur Verarbeitung von Zeichenketten dient.
Die Versionen 1.5 bis 1.9 sind von der Schwachstelle CVE-2022-42889 (teils auch „Text4Shell“ genannt) betroffen, welche unter bestimmten Bedingungen einem entfernten Angreifer die Ausführung von beliebigem Code (Remote Code Execution, RCE) erlaubt. Weiterhin kann es einem Angreifer möglich sein, von einem angreifbaren System ausgehende Verbindungen zu anderen Systemen auszulösen.
Ein Update von Commons Text auf Version 1.10 behebt die Schwachstelle, da die betreffenden Features ab dieser Version standardmäßig ausgeschaltet sind.
Die Schwachstelle wird von NIST/NVD mit einem sehr hohen CVSS-Score von 9.8 bewertet.
Wie viele und welche Produkte betroffen sind, ist noch unklar. Informationen zu Angreiferaktivitäten (Scans auf die Schwachstelle) liegen noch nicht vor. Sobald uns weitere Informationen vorliegen, aktualisieren wir diese Seite entsprechend.
Bitte prüfen Sie bzw. lassen Sie von Zulieferern prüfen, welche Systeme in Ihrem Zuständigkeitsbereich von der Schwachstelle betroffen sind. Bei betroffenen Systemen sollte so bald wie möglich ein Update durchgeführt werden.
Update 19.10.2022, 10:00: Die in diesem Abschnitt beschriebenen Scan-Werkzeuge wurden veröffentlicht.
Zur Untersuchung, ob eine Anwendung verwundbar ist, exstieren die folgenden Werkzeuge:
Die Firma JFrog hat einen lokalen Datei-Scanner veröffentlicht, welcher in einem angegebenen Verzeichnis nach verwundbaren Programmen sucht. Dieser erkennt die Version von Commons Text anhand von Zeichenketten, die im Code der Bibliothek vorkommen.
Das Werkzeug ist unter https://github.com/jfrog/text4shell-tools zu finden.
Die Firma Silent Signal hat einen netzwerkbasierten Scanner veröffentlicht, der bei Webanwendungen versucht, die Schwachstelle auszunutzen. Hierbei handelt es sich um ein Plugin für die auf Webanwendungen spezialisierte Burp Suite. Sofern dieser Scanner keine Ergebnisse liefert, ist es jedoch leider nicht garantiert, dass die Anwendung nicht verwundbar ist.
Das Plugin ist unter https://github.com/silentsignal/burp-text4shell zu finden.
Update 19.10.2022, 10:00: Die Autoren von Commons Text haben unter https://commons.apache.org/proper/commons-text/security.html ein Advisory mit detaillierten Informationen veröffentlicht.