Mục lục
Apache common và Apache Commons Text là gì?
Apache Commons là 1 dự án được tạo nên để cung cấp cho các lập trình viên một tập hợp các thư viện chung mà chúng ta hay dùng hàng ngày để code. Apache Commons Text là một phần của dự án Apache Commons, nó là một thư viện tập trung vào các thuật toán làm việc trên các chuỗi.
Cảnh báo về lỗ hổng bảo mật trên Apache Commons Text
Các nhà nghiên cứu cảnh báo, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, tuy nhiên không quá nguy hiểm như Log4Shell.
Thư viện Apache Commons Text chủ yếu tập trung vào các thuật toán hoạt động trên chuỗi. Nó bao gồm một API, cho phép nội suy hoặc thay thế, và cho các thuộc tính được đánh giá và mở rộng động.
Theo các nhà nghiên cứu JFrog, một số chức năng của thư viện có thể dẫn đến việc thực thi mã từ xa nếu dữ liệu do hacker kiểm soát được chuyển đến các chức năng này.
>>> Bài viết có thể bạn quan tâm: Cảnh báo về lỗ hổng bảo mật Zero-day trên Microsoft Exchange
“Lỗ hổng chỉ có thể bị khai thác trong trường hợp một số code Java tồn tại và sử dụng thư viện này và chuyển dữ liệu do hacker kiểm soát đến các chức năng cụ thể”, Shachar Menashe, Giám đốc cấp cao tại JFrog cho biết.
Lỗ hổng CVE-2022-42889 xuất hiện 10 tháng sau Log4Shell – lỗ hổng được đánh giá là một trong những vấn đề nghiêm trọng nhất trong 20 năm qua. Log4Shell từng gây chấn động bởi nguy cơ tấn công từ các tổ chức gián điệp quốc gia tới tội phạm mạng, tuy nhiên thiệt hại thực tế không quá tồi tệ như lo ngại ban đầu.
Vào tháng 7, Hội đồng Đánh giá An toàn Mạng đã đưa ra một báo cáo xác nhận Log4Shell sẽ không ảnh hưởng như lo ngại ban đầu, nhưng vẫn là một lỗ hổng an ninh đặc hữu.
Lỗ hổng Apache Commons Text này được cho là không nghiêm trọng như Log4Shell, vì các chức năng này ít có khả năng nhận được thông tin đầu vào của người dùng hơn.
Các nhà nghiên cứu từ GreyNoise cho biết, họ đã biết về PoC lỗ hổng và có thể kích hoạt nó trong môi trường thử nghiệm. Tuy nhiên, chưa phát hiện việc khai thác lỗ hổng để tấn công trong thực tế.
Một lỗ hổng an ninh tương tự với tên CVSSv3 system có mã theo dõi là CVE-2022-33980, cùng mức độ nghiêm trọng 9,8 đã được phát hiện trong cấu hình Apache Commons tháng 7 vừa qua.
Hạn chế rủi ro
Để tránh bị ảnh hưởng bởi CVE-2022-42889, các nhà phát triển nên kiểm tra lại bộ mã nguồn và phiên bản đang sử dụng, đảm bảo rằng mình không sử dụng phiên bản cũ hơn 1.10, theo khuyến cao các nhà phát triển nên nâng cấp lên Apache Commons Text từ phiên bản 1.10 trở lên để hạn chế được rủi ro.