Text4Shell: grave vulnerabilità in Apache, ma non sarà una nuova Log4Shell. C’è la patch – Cyber Security 360
Nuove minacce
Condividi questo articolo
Una nuova vulnerabilità in Apache, identificata nella libreria open source Commons Text, allarma gli amministratori IT, ma l’impatto non sembra essere paragonabile a quello provocato da Log4j. Inoltre, c’è già l’aggiornamento. Ecco tutti i dettagli e come mitigare il rischio
3 giorni fa
F
Research Infosec, fondatore Insicurezzadigitale.com
È stata ribattezzata Text4Shell (nome che rievoca la ben più pericolosa Log4Shell) l’importante vulnerabilità in Apache Commons Text corretta con l’aggiornamento della libreria open source alla versione 1.10.0.
La vulnerabilità Text4Shell, tracciata come CVE-2022-42889 e classificata con un indice di gravità CVSS di 9.8 su 10.0, è di tipo RCE (esecuzione di codice in modalità remota) e potrebbe consentire a un attaccante di eseguire codice arbitrario sul computer target e compromettere l’intero host.
Ricordiamo che Apache Commons Text è una libreria Java con un “sistema di interpolazione” che consente agli sviluppatori di modificare, decodificare, generare ed eseguire l’escape in base alla ricerca di stringhe.
Che cos’è Text4Shell
La vulnerabilità, che è stata scoperta per la prima volta il 9 marzo 2022, interessa varie versioni della libreria open source Apache Commons Text comprese tra la 1.5 e la 1.9 ed è causata da uno script di convalida non sicura da parte del sistema di interpolazione che potrebbe attivare l’esecuzione di codice durante l’elaborazione di input dannosi nella configurazione predefinita della libreria.
Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza dei dati
Come dicevamo, il nome con il quale è stata battezzata quest’ultima vulnerabilità è sicuramente evocativo della recente Log4Shell, exploit d’impatto globale e persistente sulla libreria Apache Log4j. Tuttavia, è doveroso sottolineare come non sia
