Aggiornamenti recenti Luglio 3rd, 2025 10:20 AM
Ott 20, 2022 Marina Londei News, Vulnerabilità 0
L’incubo del bug Log4Shell è tornato: su Apache Commons Text, una libreria Java, è stata individuata una vulnerabilità molto simile a quella di Log4J. Si tratta di un bug molto grave che risiede ancora una volta nel processo di interpolazione di stringhe.
In Commons Text, un toolkit general-purpose per la manipolazione di testi, è presente un oggetto di tipo StringSubstitutor che permette di creare un interpolatore per sostituire le stringhe di input. Tre funzioni, in particolare, rappresentano il pericolo maggiore: dns, script e url. Tutte e tre permettono ai dati dall’esterno di essere processati e loggati nei server interni, provocando conseguenze diverse.
La prima funzione cerca il nome di un server e lo sostituisce con il valore inserito; l’attaccante può inserire un nome di dominio che controlla così che il processo di lookup termini sul DNS server di sua scelta, riuscendo a mappare parti della rete interna dell’organizzazione.
La funzione url funziona in modo analogo e si connette al server name specificato. Con la funzione script, invece, l’attaccante può eseguire codice remoto inserendolo nell’input della stringa da interpolare. Quest’ultima funziona con versioni più vecchie di Java (come la 8 e la 11) che però vengono ancora utilizzate da molte organizzazioni.
Il bug è presente in tutte le versioni di Apache Commons Text precedenti alla 1.10.0. La prima cosa da fare per proteggersi dalla vulnerabilità è aggiornare la libreria all’ultima versione, dove le funzioni sono disabilitate di default. Apache consiglia di controllare tutti i propri progetti per individuare la presenza del toolkit ed eventualmente aggiornarlo.
Occorre poi sanificare gli input controllando la presenza di sequenze di caratteri potenzialmente pericolose. Si tratta di una buona pratica da applicare non solo per questa vulnerabilità, ma in generale in qualsiasi sistema che lavori con dati di input e sostituzione di stringhe.
Anche se il bug non è grave quanto quello di Log4Shell è importante mantenere aggiornata la libreria e seguire gli aggiornamenti di Apache.
Giu 30, 2025 0
Giu 27, 2025 0
Giu 19, 2025 0
Giu 18, 2025 0
Lug 03, 2025 0
Lug 02, 2025 0
Lug 01, 2025 0
Giu 26, 2025 0
Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Lug 02, 2025 0
Secondo quanto riportato da un articolo di Bloomberg, un...Lug 01, 2025 0
In un documento congiunto rilasciato ieri, la CISA,...Giu 30, 2025 0
I ricercatori di Koi Security hanno individuato una...Giu 27, 2025 0
Durante un processo di analisi di vulnerabilità zero-day,...