Alert!

Kritische Sicherheitslücke in Apache Commons Text

In der String-Verarbeitungskomponente Apache Commons Text klafft eine kritische Sicherheitslücke. Angreifer könnten durch sie Schadcode einschleusen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: Carlo Toffolo/Shutterstock.com)

Von

Erinnerungen an die log4j-Schwachstelle werden bei der jetzt entdeckten Sicherheitslücke in der Zeichenketten-Verarbeitungskomponente Apache Commons Text wach. Angreifer könnten dadurch beliebigen Schadcode aus der Ferne einschleusen. Einige "aber" sorgen jedoch dafür, dass das Problem nicht ganz so weitverbreitet wie bei log4shell ist.

Apache Commons Text dient zur Verarbeitung und Manipulation von Zeichenketten. Dabei unterstützt das Modul auch Textbaustein-Ersetzungen und nennt das "Interpolation". Dabei werden Variablen der Art "${prefix:name}" am dem Ort "prefix" in der Instanz org.apache.commons.text.lookup.StringLookup nachgeschlagen. Die Standardeinstellungen enthält Ersetzungen, die in der Ausführung beliebigen Codes oder dem Kontaktieren von Servern im Internet münden können (CVE-2022-42889, CVSS 9.8, Risiko "kritisch").

In der Fehlermeldung zum CVE-Eintrag zählen die Entwickler die Interpolatoren auf, die die Sicherheitslücke aufgerissen haben. Während "script" einen Ausdruck mit der JVM Script Execution Engine (javax.script) ausführt, löst "dns" DNS-Einträge auf und "url" lädt Werte von URLs – einschließlich von entfernten Servern im Internet. Ein Beispiel erläutert das GitHub Security Lab.

Die Schwachstelle erinnert durch diese Funktionsweise an die log4shell-Lücke vom Ende des vergangenen Jahres. Die Auswirkungen dürften jedoch nicht so weitreichend sein: log4j wurde allgemein für Logging entwickelt und ist daher in vielen Produkten anzutreffen. Apache Commons Text dient hingegen gezielten String-Manipulationen und kommt wahrscheinlich gezielter zum Einsatz.

Darauf weist etwa auch der IT-Sicherheitsforscher Sean Wright auf Twitter hin. Entwickler müssen selbst die verwundbaren Interpolatoren im Code nutzen. Angreifer müssten also verwundbare Projekte kennen. Das schränkt die Angriffsmöglichkeiten im Vergleich zu log4shell ein, wo Angreifer zudem gewissermaßen den Interpolator selbst mitgeben können.

Die Lücke kam in Version 1.5 von Apache Commons Text hinzu. In der aktuellen Fassung 1.10 haben die Entwickler die Fehler behoben, indem sie die problematischen Interpolatoren deaktiviert haben. Administratoren, die auf ihren Systemen die Komponente nutzen, sollten dringend auf die aktuelle Version aktualisieren.

(dmk)