Aggiornamenti recenti Febbraio 7th, 2023 4:20 PM
Ott 20, 2022 Marina Londei News, Vulnerabilità 0
L’incubo del bug Log4Shell è tornato: su Apache Commons Text, una libreria Java, è stata individuata una vulnerabilità molto simile a quella di Log4J. Si tratta di un bug molto grave che risiede ancora una volta nel processo di interpolazione di stringhe.
In Commons Text, un toolkit general-purpose per la manipolazione di testi, è presente un oggetto di tipo StringSubstitutor che permette di creare un interpolatore per sostituire le stringhe di input. Tre funzioni, in particolare, rappresentano il pericolo maggiore: dns, script e url. Tutte e tre permettono ai dati dall’esterno di essere processati e loggati nei server interni, provocando conseguenze diverse.
La prima funzione cerca il nome di un server e lo sostituisce con il valore inserito; l’attaccante può inserire un nome di dominio che controlla così che il processo di lookup termini sul DNS server di sua scelta, riuscendo a mappare parti della rete interna dell’organizzazione.
La funzione url funziona in modo analogo e si connette al server name specificato. Con la funzione script, invece, l’attaccante può eseguire codice remoto inserendolo nell’input della stringa da interpolare. Quest’ultima funziona con versioni più vecchie di Java (come la 8 e la 11) che però vengono ancora utilizzate da molte organizzazioni.
Il bug è presente in tutte le versioni di Apache Commons Text precedenti alla 1.10.0. La prima cosa da fare per proteggersi dalla vulnerabilità è aggiornare la libreria all’ultima versione, dove le funzioni sono disabilitate di default. Apache consiglia di controllare tutti i propri progetti per individuare la presenza del toolkit ed eventualmente aggiornarlo.
Occorre poi sanificare gli input controllando la presenza di sequenze di caratteri potenzialmente pericolose. Si tratta di una buona pratica da applicare non solo per questa vulnerabilità, ma in generale in qualsiasi sistema che lavori con dati di input e sostituzione di stringhe.
Anche se il bug non è grave quanto quello di Log4Shell è importante mantenere aggiornata la libreria e seguire gli aggiornamenti di Apache.
Gen 20, 2023 0
Gen 17, 2023 0
Gen 12, 2023 0
Gen 10, 2023 0
Feb 07, 2023 0
Feb 06, 2023 0
Feb 06, 2023 0
Feb 03, 2023 0
Feb 07, 2023 0
Nel 2022 c’è stato un aumento record negli attacchi...Feb 07, 2023 0
Gli attacchi di phishing non si arrestano: sempre più...Feb 06, 2023 0
Questa mattina abbiamo dato conto del grande clamore...Feb 03, 2023 0
I ransomware sono stati la minaccia principale degli ultimi...Feb 02, 2023 0
Semperis ha recentemente organizzato un incontro con Coley...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Feb 07, 2023 0
Uno studio globale condotto da Kaspersky intervistando...Feb 06, 2023 0
I ricercatori di Proofpoint hanno individuato diverse...Feb 06, 2023 0
A partire da venerdì 3 febbraio, una nuova campagna...Feb 03, 2023 0
Il produttore di sistemi di storage QNAP ha annunciato...Feb 03, 2023 0
Prilex è un noto attore di minacce, che ha iniziato...