关于Apache Common Text存在远程代码执行漏洞

已于 2022-10-24 09:25:33 修改
阅读量1.3k 收藏
点赞数
分类专栏: JavaWeb 文章标签: 1024程序员节
于 2022-10-24 09:18:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learnworm/article/details/127485316
版权

一、漏洞情况分析
近期,Apache Common Text被爆出存在一个高危远程代码执行漏洞,且漏洞验证代码(PoC)被公开在推特上。Apache Common Text是美国阿帕奇(Apache)基金会的一款专注于处理字符串的算法库。该算法库提供多种Java语言核心库未具备的字符串处理功能,在全球范围内应用广泛。当应用系统应用该算法库处理字符串,且特定的函数可接受外部传入的参数时,攻击者可通过构造特殊参数字符串传递至特定函数,获取到最高权限,从而执行任意操作,严重危害系统安全。
二、影响范围与排查方法
2.1 影响范围
经研判,Apache Common Text库版本号<1.10.0 均受此漏洞影响。
2.2 版本排查方法
(1) 如果是war包,使用压缩软件打开排查是否存在commons-text-1.x.x.jar
(2) 如果是jar包,请排查部署时候libs或者lib下是否存在commons-text-1.x.x.jar
(3) 如果是微服务,查看jar包中是否包含org.apache.commons.text 包路径
(4) 开发人员可直接在开发工具IDE上查看pom.xml是否存在相应的版本:
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-text</artifactId>
<version>1.x.x</version>
</dependency>

三、漏洞修复建议 目前Apache基金会官方仓库已发布安全更新版本1.10. 0,链接如下

最新版本下载地址:Commons Text – Download Apache Commons Text

 从官网下载最新版本commons-text-1.10.0-bin.zip

甘苦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Commons Text 库简介
allway2的博客
11-17 8821
该包有一组类,负责将文本转换为一些不同的字符编码模型,如 Unicode 和数字字符引用。在这个快速介绍中,我们将看到Apache Commons Text是什么,它的用途,以及使用库的一些实际示例。在这个快速教程中,我们已经看到了Apache Commons Text的全部内容及其一些常见功能的概述。使我们能够定义自己的查找表,其中每个字符都可以具有相应的值,并且可以将任何文本转换为相应的等效值。具有能够将字符串中每个单词的首字母大写,交换字符串的大小写。在这里,我们将要开始翻译的字符的索引传递给。
commons-text-1.9-API文档-中文版.zip
06-05
赠送jar包:commons-text-1.9.jar; 赠送原API文档:commons-text-1.9-javadoc.jar; 赠送源代码commons-text-1.9-sources.jar; 赠送Maven依赖信息文件:commons-text-1.9.pom; 包含翻译后的API文档:commons-text-1.9-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-text:1.9; 标签:apachecommonstext、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
使用doop识别近commons text漏洞的污点信息流
最新发布
ZL4120505的博客
04-14 642
对doop的命令行使用进行简单,分析,有几个关键的命令参数,-i参数接受需要分析的文件(例如jar包),-a参数配置分析策略(例如是选择context sensitive还是context insensitive),--app-only参数配置开启doop的app only模式,--information-flow开启doop的信息流分析模式(可以用来做污点分析),--platform设置分析需要的jdk平台,--fact-gen-cores配置生成facts的并发性。具体语法和高阶特性可以通过。
漏洞分析】Apache Commons Text远程代码执行漏洞(CVE-2022-42889)
olga5abl的博客
11-30 4337
这些查找是:-“script”-使用JVM脚本执行引擎(javax.script)执行表达式-“dns”-解析dns记录-“url”-从url加载值,如果使用不受信任的配置值,则受影响版本中使用插值默认值的应用程序,可能容易受到远程代码执行或与远程服务器无意接触的影响。并且这种插值器的性质意味着,将内容输入到易受攻击的对象中的可能性,比仅与Log4Shell中的此类字符串交互的可能性要小。通常在开发过程中用于占位符和动态获取属性的字符串编辑工具包,常用于数据库查询前的语句替换,或者页面输出时的替换。
漏洞分析|Apache Commons Text远程代码执行漏洞(CVE-2022-42889)
xuandaoren的博客
11-23 258
Apache Commons Text 是一个专注于字符串算法的库。在1.5到1.9版本中,包括一些默认的插值器,如果使用不受信任的配置值,则在受影响版本中使用插值默认值的应用程序可能容易受到远程代码执行的攻击。Apache Commons Text 是一个低级库,用于执行各种文本操作,例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。之后的代码就是获取js脚本引擎,并通过ScriptEngine.eval的方法执行。方法中解析了头部和尾部的${},把其中的值取出来进一步解析。
漏洞通告】CVE-2022-42889 Apache Commons Text远程代码执行漏洞
热爱学习,喜欢折腾!
10-14 3352
10月13日,Apache发布安全公告,修复了Apache Commons Text中的一个远程代码执行漏洞(CVE-2022-42889)。Apache Commons Text版本1.5到1.9中,由于不安全的插值默认值,当输入的参数不受信任时,可能导致远程代码执行Apache Commons Text 项目实现了一系列关于文本字符串的算法,专注于处理字符串和文本块。目前该漏洞已经修复,受影响用户可以升级到Apache Commons Text 1.10.0。
Apache Commons Text示例
小李专栏
12-14 5825
Apache Commons Text示例
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
commons-text-1.9-API文档-中英对照版.zip
06-04
赠送jar包:commons-text-1.9.jar; 赠送原API文档:commons-text-1.9-javadoc.jar; 赠送源代码commons-text-1.9-sources.jar; 赠送Maven依赖信息文件:commons-text-1.9.pom; 包含翻译后的API文档:commons-text-1.9-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.commons:commons-text:1.9; 标签:apachecommonstext、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
将 Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
CVE-2022-42889 Apache Commons Text 漏洞
王嘟嘟的博客
02-28 964
所幸遇到,就简单看看,其中没有啥比较难的地方,仅做记录。10月13日的漏洞
漏洞预警|Apache Commons Text 远程代码执行漏洞
LJQClqjc的博客
10-14 433
近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
apache.commons.text生成随机字符串
weixin_47084857的博客
05-17 1853
apache.commons.text生成随机字符串 本文使用到的第三方jar包为:commons-text-1.8.jar 另外:使用此包还需要引入lang3包(依赖lang3):commons-lang3-3.8.1.jar 导包:(只使用到RandomStringGenerator工具类,所以只导下面的的包) import org.apache.commons.text.RandomStringGenerator; 如果未引入依赖包,则会报下列异常: Exception in thread "mai
Java Apache Commons的字符串比较
weixin_42098295的博客
07-21 202
本文主要介绍Java中,使用Apache Commons字符串比较的几种方法(equals() 、compareToIgnoreCase()、compare()、compareIgnoreCase()、equalsAny()或equalsAnyIgnoreCase()),以及相关字符串比较的示例代码。 原文地址:Java Apache Commons的字符串比较 ...
Apache-Commons常用的功能整理
weixin_34342207的博客
09-18 256
2019独角兽企业重金招聘Python工程师标准>>> ...
CommonTextView的使用
asdfliuchen的博客
06-25 612
CommonTextView是SuperTextView的简化版,首先需要导入依赖。 github上作者如下描述: 如何使用 3.1、Android Studio导入方法,添加Gradle依赖 先在项目根目录的 build.gradle 的 repositories 添加: allprojects { repositories { ... maven { url "https:
处理,Apache Log4j 远程代码执行漏洞 工作
03-07
你好,关于处理 Apache Log4j 远程代码执行漏洞的工作,我们建议及时升级 Log4j 版本,或者禁用 Log4j,以保障系统安全。同时,也需要加强对系统漏洞的监测和防范,及时修复漏洞,确保系统安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值