Apache近日發布更新以解決多個產品的安全性弱點

風險等級: 高度威脅
摘要: 弱點通告:Apache 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新!
影響系統:
  • Apache Commons Text 1.10之前
解決辦法: 請參考 Apache官方網站的說明和處理建議:
建議用戶升級到 Apache Commons Text 1.10.0 (含)之後版本
細節描述: Apache Commons Text 執行變量插值,允許動態評估和擴展屬性。
插值的標準格式是“${prefix:name}”,其中“prefix”是用於定位執行插值的 org.apache.commons.text.lookup.StringLookup 的實例。從 1.5 版到 1.9 版,預設 Lookup 實例集的插值器可能會導致被任意填入程式碼或遠端連線。

這些查找是: – “script” – 使用 JVM 腳本執行引擎 (javax.script) 執行表達式 – “dns” – 解析 dns 記錄 – “url” – 從 url 加載值,包括來自遠端伺服器的連線。
如果使用了不受信任的配置值,則在受影響的版本中使用預設插值的應用程式可能容易受到遠端程式執行或與遠端伺服器無意接觸的影響。建議用戶升級到 Apache Commons Text 1.10.0,預設情況下禁用有問題的插值器。

參考資訊: NIST

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *