Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Apache Commons Text ha un bug: torna l’incubo Log4Shell
L’incubo del bug Log4Shell è tornato: su Apache Commons Text, una libreria Java, è stata individuata una vulnerabilità molto simile a quella di Log4J. Si tratta di un bug molto grave che risiede ancora una volta nel processo di interpolazione di stringhe.
In Commons Text, un toolkit general-purpose per la manipolazione di testi, è presente un oggetto di tipo StringSubstitutor che permette di creare un interpolatore per sostituire le stringhe di input. Tre funzioni, in particolare, rappresentano il pericolo maggiore: dns, script e url. Tutte e tre permettono ai dati dall’esterno di essere processati e loggati nei server interni, provocando conseguenze diverse.
La prima funzione cerca il nome di un server e lo sostituisce con il valore inserito; l’attaccante può inserire un nome di dominio che controlla così che il processo di lookup termini sul DNS server di sua scelta, riuscendo a mappare parti della rete interna dell’organizzazione.
La funzione url funziona in modo analogo e si connette al server name specificato. Con la funzione script, invece, l’attaccante può eseguire codice remoto inserendolo nell’input della stringa da interpolare. Quest’ultima funziona con versioni più vecchie di Java (come la 8 e la 11) che però vengono ancora utilizzate da molte organizzazioni.
Il bug è presente in tutte le versioni di Apache Commons Text precedenti alla 1.10.0. La prima cosa da fare per proteggersi dalla vulnerabilità è aggiornare la libreria all’ultima versione, dove le funzioni sono disabilitate di default. Apache consiglia di controllare tutti i propri progetti per individuare la presenza del toolkit ed eventualmente aggiornarlo.
Occorre poi sanificare gli input controllando la presenza di sequenze di caratteri potenzialmente pericolose. Si tratta di una buona pratica da applicare non solo per questa vulnerabilità, ma in generale in qualsiasi sistema che lavori con dati di input e sostituzione di stringhe.
Anche se il bug non è grave quanto quello di Log4Shell è importante mantenere aggiornata la libreria e seguire gli aggiornamenti di Apache.
Condividi l'articolo
- APache, apache commons text, Log4j, Log4Shell, sostituzione di stringhe, string interpolation, vulnerabilità
CISA individua nuove vulnerabilità per Advantech e Hitachi
Una soluzione temporanea ai problemi di Exchange Online in Outlook
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
