关于Apache Common Text存在远程代码执行漏洞

已于 2022-10-24 09:25:33 修改
阅读量1.3k 收藏
点赞数
分类专栏: JavaWeb 文章标签: 1024程序员节
于 2022-10-24 09:18:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learnworm/article/details/127485316
版权

一、漏洞情况分析
近期,Apache Common Text被爆出存在一个高危远程代码执行漏洞,且漏洞验证代码(PoC)被公开在推特上。Apache Common Text是美国阿帕奇(Apache)基金会的一款专注于处理字符串的算法库。该算法库提供多种Java语言核心库未具备的字符串处理功能,在全球范围内应用广泛。当应用系统应用该算法库处理字符串,且特定的函数可接受外部传入的参数时,攻击者可通过构造特殊参数字符串传递至特定函数,获取到最高权限,从而执行任意操作,严重危害系统安全。
二、影响范围与排查方法
2.1 影响范围
经研判,Apache Common Text库版本号<1.10.0 均受此漏洞影响。
2.2 版本排查方法
(1) 如果是war包,使用压缩软件打开排查是否存在commons-text-1.x.x.jar
(2) 如果是jar包,请排查部署时候libs或者lib下是否存在commons-text-1.x.x.jar
(3) 如果是微服务,查看jar包中是否包含org.apache.commons.text 包路径
(4) 开发人员可直接在开发工具IDE上查看pom.xml是否存在相应的版本:
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-text</artifactId>
<version>1.x.x</version>
</dependency>

三、漏洞修复建议 目前Apache基金会官方仓库已发布安全更新版本1.10. 0,链接如下

最新版本下载地址:Commons Text – Download Apache Commons Text

 从官网下载最新版本commons-text-1.10.0-bin.zip

甘苦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
commons-text-1.9-API文档-中文版.zip
06-05
赠送jar包:commons-text-1.9.jar; 赠送原API文档:commons-text-1.9-javadoc.jar; 赠送源代码commons-text-1.9-sources.jar; 赠送Maven依赖信息文件:commons-text-1.9.pom; 包含翻译后的API文档:commons-text-1.9-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-text:1.9; 标签:apachecommonstext、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
漏洞分析】Apache Commons Text远程代码执行漏洞(CVE-2022-42889)
olga5abl的博客
11-30 5087
这些查找是:-“script”-使用JVM脚本执行引擎(javax.script)执行表达式-“dns”-解析dns记录-“url”-从url加载值,如果使用不受信任的配置值,则受影响版本中使用插值默认值的应用程序,可能容易受到远程代码执行或与远程服务器无意接触的影响。并且这种插值器的性质意味着,将内容输入到易受攻击的对象中的可能性,比仅与Log4Shell中的此类字符串交互的可能性要小。通常在开发过程中用于占位符和动态获取属性的字符串编辑工具包,常用于数据库查询前的语句替换,或者页面输出时的替换。
探索字符串的艺术:Apache Commons Text深度解析与应用指南
gitblog_00081的博客
06-08 904
探索字符串的艺术:Apache Commons Text深度解析与应用指南 项目地址:https://gitcode.com/apachearrow-nanoarrow/commons-text 项目介绍 在编程的世界里,处理字符串是一项基础而核心的任务。Apache Commons Text,一个出自Apache软件基金会的杰出作品,正是为了解决这一需求而生。它是一个专注于字符串处理算法的库,旨...
CVE-2022-42889 Apache Commons Text 漏洞
王嘟嘟的博客
02-28 978
所幸遇到,就简单看看,其中没有啥比较难的地方,仅做记录。10月13日的漏洞
漏洞通告】CVE-2022-42889 Apache Commons Text远程代码执行漏洞
热爱学习,喜欢折腾!
10-14 3372
10月13日,Apache发布安全公告,修复了Apache Commons Text中的一个远程代码执行漏洞(CVE-2022-42889)。Apache Commons Text版本1.5到1.9中,由于不安全的插值默认值,当输入的参数不受信任时,可能导致远程代码执行Apache Commons Text 项目实现了一系列关于文本字符串的算法,专注于处理字符串和文本块。目前该漏洞已经修复,受影响用户可以升级到Apache Commons Text 1.10.0。
Apache Commons Text示例
小李专栏
12-14 5828
Apache Commons Text示例
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
将 Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
commons-text-1.9-API文档-中英对照版.zip
06-04
赠送jar包:commons-text-1.9.jar; 赠送原API文档:commons-text-1.9-javadoc.jar; 赠送源代码commons-text-1.9-sources.jar; 赠送Maven依赖信息文件:commons-text-1.9.pom; 包含翻译后的API文档:commons-text-1.9-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.commons:commons-text:1.9; 标签:apachecommonstext、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
Apache Commons Text 库简介
allway2的博客
11-17 9110
该包有一组类,负责将文本转换为一些不同的字符编码模型,如 Unicode 和数字字符引用。在这个快速介绍中,我们将看到Apache Commons Text是什么,它的用途,以及使用库的一些实际示例。在这个快速教程中,我们已经看到了Apache Commons Text的全部内容及其一些常见功能的概述。使我们能够定义自己的查找表,其中每个字符都可以具有相应的值,并且可以将任何文本转换为相应的等效值。具有能够将字符串中每个单词的首字母大写,交换字符串的大小写。在这里,我们将要开始翻译的字符的索引传递给。
探索文本处理的新境界:Apache Commons Text
最新发布
gitblog_00028的博客
06-08 330
探索文本处理的新境界:Apache Commons Text 项目地址:https://gitcode.com/apachecommons-text/commons-text 在大数据和文本分析的浪潮中,准确高效地处理字符串成为了开发者不可或缺的技能。今天,我们要向您隆重推荐一个强大且实用的工具——Apache Commons Text。这是一款由Apache软件基金会维护的开源库,专门针对字符串...
漏洞预警|Apache Commons Text 远程代码执行漏洞
LJQClqjc的博客
10-14 436
近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
apache.commons.text生成随机字符串
weixin_47084857的博客
05-17 1860
apache.commons.text生成随机字符串 本文使用到的第三方jar包为:commons-text-1.8.jar 另外:使用此包还需要引入lang3包(依赖lang3):commons-lang3-3.8.1.jar 导包:(只使用到RandomStringGenerator工具类,所以只导下面的的包) import org.apache.commons.text.RandomStringGenerator; 如果未引入依赖包,则会报下列异常: Exception in thread "mai
Java Apache Commons的字符串比较
weixin_42098295的博客
07-21 208
本文主要介绍Java中,使用Apache Commons字符串比较的几种方法(equals() 、compareToIgnoreCase()、compare()、compareIgnoreCase()、equalsAny()或equalsAnyIgnoreCase()),以及相关字符串比较的示例代码。 原文地址:Java Apache Commons的字符串比较 ...
Apache-Commons常用的功能整理
weixin_34342207的博客
09-18 258
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值