พบช่องโหว่ Text4Shell (Apache Commons Text RCE) ควรดำเนินการอัปเดต
26 ตุลาคม 2022
พบช่องโหว่จากการเรียกใช้โค้ดระยะไกลใน library Apache Commons Text แบบ open-source ทำให้นักวิจัยด้านความปลอดภัยหลาย ๆ คน กังวลว่าจะกลายเป็น Log4Shell รุ่นถัดไป แนะนำให้รีบอัปเดตโดยด่วน ซึ่งช่องโหว่ที่ว่าคือ CVE-2022-42889 อยู่ใน Apache Commons Text มีชื่อเรียกว่า “Text4Shell” ช่องโหว่นี้เกิดจากการประเมินสคริปต์ที่ไม่ปลอดภัย และเรียกใช้โค้ดเมื่อประมวลผลอินพุตที่เป็นอันตรายในการกำหนดค่าเริ่มต้นของ library จากระยะไกลได้ แต่นักวิจัยด้านความปลอดภัยอีกหลาย ๆ คนที่มองว่าข้อมูลดังกล่าวไม่เกี่ยวข้องกัน เนื่องจาก library Apache Commons Text เป็น open-source “interpolation system” ช่วยให้นักพัฒนาสามารถ แก้ไข ถอดรหัส และยกเว้นสตริงตามการค้นหาสตริงที่ป้อนได้ ตัวอย่างเช่น
การส่งผ่านการค้นหาข้อความ ${base64Decoder:SGVsbG9Xb3JsZCE=} ไปยังระบบการแก้ไขจะทำให้ libraryแปลงเป็นค่าถอดรหัส base64 ของ ‘HelloWorld!’
ทั้งนี้ ช่องโหว่ดังกล่าวถูกค้นพบจาก Alvaro Munoz นักวิเคราะห์ภัยคุกคามของ GitHub และรายงานไปยัง Apache เมื่อวันที่ 9 มีนาคม 2022 โดยนักพัฒนา library open-source ต้องใช้เวลา 7 เดือนในการแก้ไขจนสามารถแก้ไขสำเร็จเป็นแพทซ์ในเวอร์ชัน 1.10.0 ดังนั้น ขอให้ผู้ใช้งานอัปเดต Apache Commons Text เวอร์ชัน 1.10.0 โดยด่วน เพื่อความปลอดภัย
ที่มา: bleepingcomputer
บทความที่เกี่ยวข้อง