favicon
favicon

Text4Shell: grave vulnerabilità in Apache, ma non sarà una nuova Log4Shell. C’è la patch

Una nuova vulnerabilità in Apache, identificata nella libreria open source Commons Text, allarma gli amministratori IT, ma l'impatto non sembra essere paragonabile a quello provocato da Log4j. Inoltre, c'è già l'aggiornamento. Ecco tutti i dettagli e come mitigare il rischio L'articolo Text4Shell: grave vulnerabilità in Apache, ma non sarà una nuova Log4Shell. C’è la patch proviene da Cyber Security 360.

Text4Shell: grave vulnerabilità in Apache, ma non sarà una nuova Log4Shell. C’è la patch – Cyber Security 360

Nuove minacce

Condividi questo articolo

Una nuova vulnerabilità in Apache, identificata nella libreria open source Commons Text, allarma gli amministratori IT, ma l’impatto non sembra essere paragonabile a quello provocato da Log4j. Inoltre, c’è già l’aggiornamento. Ecco tutti i dettagli e come mitigare il rischio

3 giorni fa

F

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stata ribattezzata Text4Shell (nome che rievoca la ben più pericolosa Log4Shell) l’importante vulnerabilità in Apache Commons Text corretta con l’aggiornamento della libreria open source alla versione 1.10.0.

La vulnerabilità Text4Shell, tracciata come CVE-2022-42889 e classificata con un indice di gravità CVSS di 9.8 su 10.0, è di tipo RCE (esecuzione di codice in modalità remota) e potrebbe consentire a un attaccante di eseguire codice arbitrario sul computer target e compromettere l’intero host.

Ricordiamo che Apache Commons Text è una libreria Java con un “sistema di interpolazione” che consente agli sviluppatori di modificare, decodificare, generare ed eseguire l’escape in base alla ricerca di stringhe.

Che cos’è Text4Shell

La vulnerabilità, che è stata scoperta per la prima volta il 9 marzo 2022, interessa varie versioni della libreria open source Apache Commons Text comprese tra la 1.5 e la 1.9 ed è causata da uno script di convalida non sicura da parte del sistema di interpolazione che potrebbe attivare l’esecuzione di codice durante l’elaborazione di input dannosi nella configurazione predefinita della libreria.

Digital event

Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre

Sicurezza dei dati

Come dicevamo, il nome con il quale è stata battezzata quest’ultima vulnerabilità è sicuramente evocativo della recente Log4Shell, exploit d’impatto globale e persistente sulla libreria Apache Log4j. Tuttavia, è doveroso sottolineare come non sia

Leggi tutto: https://www.cybersecurity360.it/news/text4shell-grave-vulnerabilita-in-apache-ma-non-sara-una-nuova-log4shell-ce-la-patch/

LaCittaNews è un motore di ricerca di informazione in formato magazine, aggrega e rende fruibili, tramite le sue tecnologie di ricerca, in maniera  automatica, gli articoli più interessanti presenti in Rete.  LaCittaNews non si avvale di nessuna redazione editoriale.   =>  DISCLAIMER

Buy Me A Coffee

Articoli correlati

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

News popolari

DAX a IBM e GOOGLE quantic computer electronic hi tech ultra re d25cef80 19c5 4a5c 8dce 0c88614f7690
Tecnologia: Il Computer Quantistico & Qubit
bollette
Nuovi rincari per luce e gas con la fine del mercato tutelato: come trovare il fornitore di energia e le offerte più convenienti
mundano murales amazzonia
Mundano ha realizzato un murales per ricordare chi è morto per difendere l’Amazzonia
social media depressione e1668105115427 1024x576 1
Chi usa i social media è più incline alla depressione