Sicherheitshinweis zu CVE-2022-42889
Diese Meldung wird laufend aktualisiert, sobald neue Informationen aus unseren Analysen hervorgehen. Bitte informieren Sie sich regelmäßig.
CVE-2022-42889 ist eine neue kritische Schwachstelle, die mit 9,8 bewertet wird. Weitere offizielle Informationen dazu finden Sie hier.
Apache Commons Text ist anfällig für Remote-Code-Ausführung (RCE) aufgrund von unzureichenden Standardbeschränkungen für die dynamische Auswertung von ${...} Strings während der Variableninterpolation mit der StringSubstitutor-API.
Diese Schwachstelle kann nur dann ausgenutzt werden, wenn es in der Komponente eine Abhängigkeit zu der anfälligen Bibliothek gibt, direkt oder vorübergehend, und diese ausdrücklich die anfällige API nutzt. Wir haben Risikoanalysen für alle unsere Produktlinien durchgeführt. Nachfolgend finden Sie unsere Ergebnisse und Empfehlungen.
enaio® (Versionen: 9.10, 10.0, 10.10)
Zwar haben mehrere enaio®-Komponenten vorübergehende Abhängigkeiten zur Apache-Commons-Text-Bibliothek, aber keine von ihnen verwendet die anfällige StringSubsitutor-API. Daher gibt es keinen ausnutzbaren Angriffsvektor und enaio® ist nicht betroffen.
Wie üblich aktualisieren wir diese Abhängigkeiten in den anstehenden regulären Patchzyklen als Vorsichtsmaßnahme und um False Positives in Sicherheitsscans vorzubeugen.
Patches für enaio® gateway sind verfügbar.
Die zuerst veröffentlichten Patches von enaio® gateway zur Apache-Commons-Text-Bibliothek führten zu Problemen mit NTLM und Dashlets und wurden zurückgezogen: Version 9.10 Hotfix 27, 10.0.11, 10.10.5.
Installieren Sie die folgende oder eine spätere Version.
yuuvis® RAD (alle unterstützten Versionen: 7.16 LTS, 8.x)
Nicht betroffen.
yuuvis® Momentum (alle unterstützten Versionen: 2020 Winter eLTS, 2021 Winter LTS, 2022 Autumn)
Zwar haben mehrere yuuvis® Momentum-Komponenten vorübergehende Abhängigkeiten zur Apache-Commons-Text-Bibliothek, aber keine von ihnen verwendet die anfällige StringSubsitutor-API. Daher gibt es keinen ausnutzbaren Angriffsvektor und yuuvis® Momentum ist nicht betroffen.
Wie üblich aktualisieren wir diese Abhängigkeiten in den anstehenden regulären Patchzyklen als Vorsichtsmaßnahme und um False Positives in Sicherheitsscans vorzubeugen.