Birçok kişi Apache Commons Metin kitaplığındaki bir RCE kusurundan endişe duymaktadır. Bu RCE kusurunun bir sonraki “Log4shell” kusuru olabileceğine inanıyorlar.
Apache Commons Text’deki yeni RCE kusuru CVE-2022-42889 olarak izleniyor ve kusura “Text4Shell” adı verildi. Sorunu keşfeden GitHub güvenlik analisti Alvaro Munoz oldu. 9 Mart 2022’de Apache’ye konuyla ilgili bilgi veren bir rapor göndermişti.
Dışarıda pek çok açık kaynaklı Java kitaplığı var, ancak bu kitaplık bir enterpolasyon sistemiyle birlikte geldiğinden Apache Commons Text en popülerlerinden biridir.
İnterpolasyon sisteminin temeli olarak girilen bir dizi aramasına dayanarak, geliştiriciler dizilerin değerleriyle aşağıdaki görevleri gerçekleştirme olanağına sahiptir:-
- Değiştirme yeteneği
- Kod çözme yeteneği
- Kaçma yeteneği
Teknik Analiz
Hata, enterpolasyon sistemi nedeniyle oluşur, çünkü tehlikeli komut dosyası değerlendirmesini yürütür ve bu da Text4Shell güvenlik açığının ortaya çıkmasına neden olur.
Kitaplığın varsayılan yapılandırmasını kullanarak, bu sistemin kötü amaçlı girişlerin işlenmesi durumunda kod yürütmeyi tetiklemesi mümkündür.
Değişken enterpolasyonun bir sonucu olarak Apache Commons Text, dinamik değerlendirmeler ve özelliklerin genişletilmesi yeteneğine sahiptir. Enterpolasyon söz konusu olduğunda, standart format aşağıdaki gibidir: –
Burada “org.apache.commons.text.lookup.StringLookup” örneğini bulmak için “prefix” kullanılır ve bulunan örnek yardımıyla enterpolasyon işlemi gerçekleştirilir.
12 Ekim 2022’de, açık kaynaklı kitaplık geliştiricileri, açık kaynak kitaplıkları için, 7 ay süren bir düzeltme olan enterpolasyon özelliğini kaldıran bir hata düzeltme sürümü 1.10.0 yayınladı.
Açıklama Zaman Çizelgesi
- 2022-03-09: Sorun bildirildi [email protected]
- 2022-03-25: Apache Commons güvenlik ekibi raporu aldığını onayladı
- 2022-05-27: GHSL bir durum güncellemesi istedi
- 2022-05-27: Apache Commons güvenlik ekibi, komut dosyası enterpolasyonunu varsayılan olarak devre dışı bırakmak için çalıştıklarını bildirdi
- 2022-06-29: Apache Commons güvenlik ekibi, programcının “tehlikeli” bir özellik kullanma niyetini tamamen açık hale getirmek için “Commons Metni”nin güncelleneceğini belirtiyor
- 2022-08-11: GHSL bir durum güncellemesi istedi
- 2022-10-12: Apache Commons Text, komut dosyası enterpolasyonunun varsayılan olarak devre dışı bırakıldığı 1.10.0 sürümünü yayınladı
Endişelenmeniz mi gerekiyor?
Log4Shell zafiyetinin verdiği zarar gibi, başlangıçta birçok kullanıcı savunmasız kütüphanenin yaygın dağıtımı nedeniyle dağıtılmasının verebileceği zarar konusunda endişeliydi.
1.5 ile 1.9 arasındaki tüm sürümlerin savunmasız olduğuna dair bir gösterge yoktur. Kullanılan JDK sürümüne bağlı olarak, istismar potansiyeli öncelikle etkilenir.
Belgelenmiş bir özellik olan dize enterpolasyon algoritmasında bir kusur var, ancak kusurun kapsamı Log4Shell’deki kadar ciddi değil.
Öneri
Geliştiriciler, bu kusuru düzeltmek için yakın zamanda Apache Commons Metin kitaplığını güncelledi. Bu nedenle, Apache Commons Metin kitaplığını kullanan kullanıcılara, güvende kalmak için eski sürümlerini 1.10 veya daha yüksek bir sürüme yükseltmelerini şiddetle tavsiye ettiler.
Ayrıca, Apache’nin güvenlik ekibinden sorunun Log4Shell ile herhangi bir benzerlik taşımadığı, kısacası artık Log4Shell güvenlik açığı kadar kritik veya ciddi olduğu da doğrulandı.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap