آسیب‌پذیری Log4Shell شناسایی شد

     تاریخ آخرین ویرایش :   2 آبان 1401       8 بازدید
این مطلب را در شبکه های اجتماعی خود به اشتراک بگذارید
زمان مطالعه: 2 دقیقه

آسیب‌پذیری Log4Shell شناسایی شد

همانطور که در دسامبر سال گذشته آسیب‌پذیری Log4Shell بسیاری از محصولات جاوا را که از کتابخانه‌ی Log4J استفاده می‌کردند تحت تأثیر قرار داد. اکنون آسیب‌پذیری جدیدی به نام Text4Shell معرفی می شود.  آن دسته از محصولات جاوا را که از عملکرد خاصی از کتابخانه‌ی Apache Commons Text استفاده می‌کنند تحت تأثیر قرار می‌دهد. این نقص می‌تواند منجر به اجرای کد هنگام پردازش ورودی‌های مخرب شود.

جزئیات آسیب‌پذیری

این آسیب‌پذیری با شناسه‌ی CVE-2022-42889 و شدت بحرانی (9.8 از 10)، که در کتابخانه‌ی Apache Commons Text وجود دارد، امکان اجرای کد از راه دور را بر روی سرور برای مهاجم فراهم می‌کند. کتابخانه‌ی Apache Commons Text، یک کتابخانه‌ی جایگزین برای قابلیت‌های Java JDK است. این کتابخانه به منظور پردازش رشته‌های متنی متمرکز بر الگوریتم‌های خاص (که برای مدیریت این‌گونه داده به کار می‌روند) استفاده می شود. متدهای این کتابخانه امکان درون‌یابی متن را از طریق پیشوندها، متغیرها و template markها فراهم می‌کنند . (جایگزینی متغیرهایی با مقادیر داخل یک رشته تحت اللفظی) .این نقص ناشی از اجرای ناامن عملکرد درون‌یابی متغیر Commons Text است، چرا که برخی از رشته‌های جستجوی پیش‌فرض به طور بالقوه می‌توانند ورودی‎‌های نامعتبر مانند درخواست‌های DNS، URLها یا اسکریپت‌های درون خطی را از مهاجمان راه دور بپذیرند.

محصولات تحت تأثیر

علی‌رغم امتیاز بالایی که به این آسیب‌پذیری اختصاص داده شده است، باید این نکته را یادآور شد که به ندرت پیش‌ می‌آید برنامه‌ای از مؤلفه‌‌ی آسیب‌پذیر کتابخانه‌ی Apache Commons Text در پردازش ورودی‌های نامعتبر و بالقوه مخرب کاربر استفاده کند. این بدان معنا است که احتمال بهره‌برداری از این آسیب‌پذیری در مقایسه با Log4Shell بسیار کم است.
این آسیب‌پذیری کتابخانه‌ی  Apache Commons Text نسخه‌ی 1.5 – 1.9 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی

به منظور رفع این آسیب‌پذیری، کتابخانه‌ی Apache Commons Text باید به آخرین نسخه یعنی نسخه‌ی 1.10.0 یا بالاتر ارتقاء یابد.

منابع خبر:

[1] https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell
[2] https://www.tarlogic.com/blog/cve-2022-42889-critical-vulnerability-affects-apache-commons-text

سردبیر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پست بعدی

امنیت آنلاین کودکان چگونه به خطر می‌افتد؟

د آبان 2 , 1401
<span class="rt-reading-time" style="display: block;"><span class="rt-label rt-prefix">زمان مطالعه: </span> <span class="rt-time">2</span> <span class="rt-label rt-postfix">دقیقه</span></span> این مطلب را در شبکه های اجتماعی خود به اشتراک بگذاریدآیا می دانستید که طبق گزارش مرکز جرایم اینترنتی FBI (2015-2020)‎، جرایم سایبری علیه کودکان در مقایسه با سال 2019،  144 درصد افزایش یافته است؟ امنیت آنلاین کودکان چگونه به خطر می‌افتد؟ اخبار ارتباطات و فناوری اطلاعات به نقل از […]
امنیت آنلاین کودکان
//