พบช่องโหว่ Text4Shell (Apache Commons Text RCE) ควรดำเนินการอัปเดต

พบช่องโหว่จากการเรียกใช้โค้ดระยะไกลใน  library Apache Commons Text แบบ open-source ทำให้นักวิจัยด้านความปลอดภัยหลาย ๆ  คน กังวลว่าจะกลายเป็น Log4Shell รุ่นถัดไป แนะนำให้รีบอัปเดตโดยด่วน ซึ่งช่องโหว่ที่ว่าคือ  CVE-2022-42889 อยู่ใน Apache Commons Text  มีชื่อเรียกว่า “Text4Shell” ช่องโหว่นี้เกิดจากการประเมินสคริปต์ที่ไม่ปลอดภัย และเรียกใช้โค้ดเมื่อประมวลผลอินพุตที่เป็นอันตรายในการกำหนดค่าเริ่มต้นของ library จากระยะไกลได้ แต่นักวิจัยด้านความปลอดภัยอีกหลาย ๆ คนที่มองว่าข้อมูลดังกล่าวไม่เกี่ยวข้องกัน เนื่องจาก library Apache Commons Text เป็น open-source  “interpolation system” ช่วยให้นักพัฒนาสามารถ แก้ไข ถอดรหัส และยกเว้นสตริงตามการค้นหาสตริงที่ป้อนได้ ตัวอย่างเช่น

การส่งผ่านการค้นหาข้อความ ${base64Decoder:SGVsbG9Xb3JsZCE=} ไปยังระบบการแก้ไขจะทำให้ libraryแปลงเป็นค่าถอดรหัส base64 ของ ‘HelloWorld!’

ทั้งนี้ ช่องโหว่ดังกล่าวถูกค้นพบจาก Alvaro Munoz นักวิเคราะห์ภัยคุกคามของ GitHub และรายงานไปยัง Apache เมื่อวันที่ 9 มีนาคม 2022 โดยนักพัฒนา library open-source ต้องใช้เวลา 7 เดือนในการแก้ไขจนสามารถแก้ไขสำเร็จเป็นแพทซ์ในเวอร์ชัน 1.10.0  ดังนั้น ขอให้ผู้ใช้งานอัปเดต Apache Commons Text เวอร์ชัน 1.10.0 โดยด่วน เพื่อความปลอดภัย

ที่มา:  bleepingcomputer