一、漏洞情况分析
近期,Apache Common Text被爆出存在一个高危远程代码执行漏洞,且漏洞验证代码(PoC)被公开在推特上。Apache Common Text是美国阿帕奇(Apache)基金会的一款专注于处理字符串的算法库。该算法库提供多种Java语言核心库未具备的字符串处理功能,在全球范围内应用广泛。当应用系统应用该算法库处理字符串,且特定的函数可接受外部传入的参数时,攻击者可通过构造特殊参数字符串传递至特定函数,获取到最高权限,从而执行任意操作,严重危害系统安全。
二、影响范围与排查方法
2.1 影响范围
经研判,Apache Common Text库版本号<1.10.0 均受此漏洞影响。
2.2 版本排查方法
(1) 如果是war包,使用压缩软件打开排查是否存在commons-text-1.x.x.jar
(2) 如果是jar包,请排查部署时候libs或者lib下是否存在commons-text-1.x.x.jar
(3) 如果是微服务,查看jar包中是否包含org.apache.commons.text 包路径
(4) 开发人员可直接在开发工具IDE上查看pom.xml是否存在相应的版本:
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-text</artifactId>
<version>1.x.x</version>
</dependency>
三、漏洞修复建议 目前Apache基金会官方仓库已发布安全更新版本1.10. 0,链接如下
最新版本下载地址:Commons Text – Download Apache Commons Text
从官网下载最新版本commons-text-1.10.0-bin.zip