محققین Apache Commons Text PlatoBlockchain ڈیٹا انٹیلی جنس میں نئے نئے خطرے پر ہوشیار نظر رکھیں۔ عمودی تلاش۔ عی

محققین اپاچی کامنز ٹیکسٹ میں نازک نئے خطرے پر ہوشیار نظر رکھیں

ٹائم سٹیمپ: 17 اکتوبر 2022 شام 4:08 بجے

محققین اپاچی کامنز ٹیکسٹ میں ایک نازک، نئے انکشاف شدہ خطرے کا قریب سے سراغ لگا رہے ہیں جو غیر تصدیق شدہ حملہ آوروں کو متاثرہ جزو کے ساتھ ایپلی کیشنز چلانے والے سرورز پر دور سے کوڈ پر عمل درآمد کرنے کا طریقہ فراہم کرتا ہے۔

خامی (CVE-2022-42889) کو CVSS اسکیل پر ممکنہ 9.8 میں سے 10.0 کی شدت کی درجہ بندی تفویض کی گئی ہے اور Apache Commons Text کے ورژن 1.5 سے 1.9 میں موجود ہے۔ کمزوری کے لیے تصور کا ثبوت کوڈ پہلے ہی دستیاب ہے، حالانکہ اب تک استحصال کی سرگرمی کا کوئی نشان نہیں ملا ہے۔

اپ ڈیٹ شدہ ورژن دستیاب ہے۔

اپاچی سافٹ ویئر فاؤنڈیشن (ASF) ایک تازہ ترین ورژن جاری کیا 1.10.0 ستمبر کو سافٹ ویئر (Apache Commons Text 24) کا لیکن ایک جاری کیا خرابی پر مشورہ صرف گزشتہ جمعرات. اس میں، فاؤنڈیشن نے اس خامی کو غیر محفوظ ڈیفالٹس کے طور پر بیان کیا جب اپاچی کامنز ٹیکسٹ متغیر انٹرپولیشن انجام دیتا ہے، جو بنیادی طور پر تلاش کرنے کا عمل ہے اور کوڈ میں سٹرنگ ویلیوز کا اندازہ لگانا جو پلیس ہولڈرز پر مشتمل ہے۔ ایڈوائزری میں کہا گیا ہے کہ "ورژن 1.5 سے شروع ہو کر اور 1.9 تک جاری رہنے والے، پہلے سے طے شدہ تلاش کی مثالوں کے سیٹ میں انٹرپولیٹر شامل ہیں جن کے نتیجے میں صوابدیدی کوڈ پر عمل درآمد یا ریموٹ سرورز کے ساتھ رابطہ ہو سکتا ہے،" ایڈوائزری نے کہا۔

اس دوران NIST نے صارفین سے اپیل کی کہ وہ Apache Commons Text 1.10.0 میں اپ گریڈ کریں، جس نے کہا، "پریشانی والے انٹرپولیٹرز کو غیر فعال کرتا ہے۔ بطور ڈیفالٹ۔"

ASF اپاچی کامنز ٹیکسٹ لائبریری کو معیاری جاوا ڈویلپمنٹ کٹ (JDK) ٹیکسٹ ہینڈلنگ میں اضافے کے طور پر بیان کرتا ہے۔ کچھ 2,588 منصوبوں ماون سنٹرل جاوا ریپوزٹری میں ڈیٹا کے مطابق، فی الحال لائبریری کا استعمال کرتے ہیں، بشمول کچھ بڑے جیسے اپاچی ہڈوپ کامن، اسپارک پروجیکٹ کور، اپاچی ویلسٹی، اور اپاچی کامنز کنفیگریشن۔

آج ایک ایڈوائزری میں، GitHub سیکیورٹی لیب نے کہا کہ یہ تھا۔ اس کے قلم ٹیسٹرز میں سے ایک جس نے اس بگ کو دریافت کیا تھا اور مارچ میں ASF میں سیکیورٹی ٹیم کو اس کی اطلاع دی تھی۔

اب تک بگ کو ٹریک کرنے والے محققین اس کے ممکنہ اثرات کے بارے میں اپنے جائزے میں محتاط رہے ہیں۔ نامور سیکیورٹی محقق کیون بیومونٹ نے پیر کو ایک ٹویٹ میں حیرت کا اظہار کیا کہ کیا اس خطرے کے نتیجے میں Log4shell کی ممکنہ صورت حال پیدا ہوسکتی ہے، جس نے پچھلے سال کے آخر سے بدنام زمانہ Log4j خطرے کا ذکر کیا۔

اپاچی کامنز ٹیکسٹ افعال کی حمایت کرتا ہے جو کوڈ پر عمل درآمد کی اجازت دیتا ہے۔، ممکنہ طور پر صارف کے فراہم کردہ ٹیکسٹ سٹرنگز میں، "بیومونٹ نے کہا۔ لیکن اس سے فائدہ اٹھانے کے لیے، حملہ آور کو اس فنکشن کا استعمال کرتے ہوئے ایسی ویب ایپلیکیشنز تلاش کرنے کی ضرورت ہوگی جو صارف کے ان پٹ کو بھی قبول کرتی ہیں۔ "میں ابھی MSPaint نہیں کھولوں گا، جب تک کہ کوئی ویب ایپس تلاش نہ کر سکے۔ جو اس فنکشن کو استعمال کرتے ہیں اور صارف کے فراہم کردہ ان پٹ کو اس تک پہنچنے کی اجازت دیتے ہیں،" انہوں نے ٹویٹ کیا۔

تصور کا ثبوت خدشات کو بڑھا دیتا ہے۔

تھریٹ انٹیلی جنس فرم GreyNoise کے محققین نے ڈارک ریڈنگ کو بتایا کہ کمپنی CVE-2022-42889 کے دستیاب ہونے کے لیے PoC سے آگاہ تھی۔ ان کے مطابق، نیا خطرہ جولائی 2022 میں اعلان کردہ ایک ASF سے تقریباً مماثل ہے جو کامنز ٹیکسٹ میں متغیر انٹرپولیشن سے بھی منسلک تھا۔ وہ کمزوری (CVE-2022-33980) Apache Commons Configuration میں پایا گیا تھا اور اس کی شدت کی وہی درجہ بندی تھی جو کہ نئی خامی تھی۔

GreyNoise کے محققین کا کہنا ہے کہ "ہم CVE-2022-42889 کے لیے تصور کے ثبوت کے کوڈ سے واقف ہیں جو جان بوجھ کر کمزور اور کنٹرول شدہ ماحول میں خطرے کو متحرک کر سکتا ہے۔" "ہم ایک کمزور کنفیگریشن میں اپاچی کامنز ٹیکسٹ لائبریری کو استعمال کرنے والی وسیع پیمانے پر تعینات حقیقی دنیا کی ایپلی کیشنز کی کسی مثال سے واقف نہیں ہیں جو حملہ آوروں کو صارف کے زیر کنٹرول ڈیٹا کے ساتھ کمزوری کا فائدہ اٹھانے کی اجازت دے گی۔"

انہوں نے مزید کہا کہ GreyNoise کسی بھی شواہد کی نگرانی جاری رکھے ہوئے ہے جو کہ "پریکٹس کے اندر" استحصالی سرگرمی ہے۔

Jfrog سیکیورٹی نے کہا کہ وہ بگ کی نگرانی کر رہا ہے اور اب تک ایسا لگتا ہے کہ اس کا اثر ہو گا۔ Log4j سے کم وسیع ہوگا۔. "اپاچی کامنز ٹیکسٹ میں نیا CVE-2022-42889 خطرناک لگتا ہے،" JFrog نے ایک ٹویٹ میں کہا۔ "ایسا لگتا ہے کہ صرف ان ایپس کو متاثر کرتی ہیں جو حملہ آور کے زیر کنٹرول سٹرنگز کو StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() میں منتقل کرتی ہیں،" اس نے کہا۔

سیکیورٹی وینڈر نے کہا کہ جاوا ورژن 15 اور اس کے بعد کے ورژن استعمال کرنے والے لوگ کوڈ پر عمل درآمد سے محفوظ رہیں کیونکہ اسکرپٹ انٹرپولیشن کام نہیں کرے گا۔ لیکن اس خامی کا فائدہ اٹھانے کے لیے دیگر ممکنہ ویکٹر - DNS اور URL کے ذریعے - اب بھی کام کریں گے، اس نے نوٹ کیا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا