• 發布單位:TWCERT/CC
• 更新日期:2022-10-24
• 點閱次數:7421

Github 旗下的資安專家，日前發現廣為使用的開源程式庫 Apache Commons Text，內含一個可讓駭侵者用來發動攻擊，進而遠端執行任意程式碼的漏洞；採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。

Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫，內含「文字改寫系統」（interpolation system）；開發者可以利用這個系統對輸入的文字進行多種操作，包括修改、解碼、生成、抽取等等。

該漏洞又被稱為「Text4Shell」，其 CVE 編號為 CVE-2022-42889，是存於文字改寫系統中的不安全程式碼評估處理；在預設組態情況下，駭侵者可以輸入特製的惡意內容，來觸發此漏洞，進而遠端執行任意程式碼。

CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分）；危險程度評級達到最高等級的「嚴重」（Critical）等級。

資安專家在 Apache 的郵件群組內指出，自 Apache Commons Text 1.5 版起到 1.9 版之間，在預設的 Lookup instance 組態下，存有這個可導致遠端執行任意程式碼，或與遠端伺服器連線的漏洞；用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本，該版本已預設停用有問題的文字改寫系統。

該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現，並提報給此開源程式庫的開發單位 Apache Foundation；Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。

建議軟體開發者如有採用上述受影響版本的 Apache Commons Text，應立即升級至已修復此漏洞的 1.10.0 與後續版本。

• CVE編號：CVE-2022-42889

• 影響產品(版本)：Apache Commons Text 1.5 到 1.9 版。

• 解決方案：升級至 Apache Commons Text 1.10.0 版與後續版本。